Login php msql – PHP – Fórum – Programujte.com

Zdravim, potřeboval bych poradit už to řešim 2den. Mam přihlášení, ale stále když zadám správné uúdaje mi to píše že jsem zadal špatné heslo nebo jmeno. Díky Jarda

<?php
ob_start();
session_start(); 
if(isset($_POST['odeslano'])){
  require_once 'pripojeni_k_db.php';
  $jmeno = $_POST['jmeno'];
  $heslo = md5($_POST['heslo']);
    $nactidata = mysql_query("SELECT * FROM `uzivatele` WHERE `jmeno` = '$jmeno' and `heslo` = '$heslo'") or die (mysql_error());
      $nacetladata = mysql_fetch_array($nactidata);
        if($nacetladata['jmeno']){ 
          $_SESSION['prihlasen'] = 1;
          
          echo "Přihlášen.";
        }else{
          echo "Jmeno nebo heslo bylo zadáno špatně.";
        }
    mysql_free_result($nactidata);
}else{
  echo "Něco je špatně.";
}
ob_end_flush();
?>

#1 Jarda
Máš tam SQL injekci.

Starým ovladačem MySQL se už nezabývám. Zahoď ho a nauč se PDO.

#2 Kit
No, mam to jen pro osobní účely pro svou  přezentaci. Nejsem programátor a potřebuju fakt jen jednoduše se přihlásit do administrace. 

#3 Jarda
Jenže ten starý ovladač v novém PHP už nebude. Proč to nechceš udělat rovnou pořádně, abys to pak nemusel předělávat?

Pro osobní účely to přece nemusíš nijak zaheslovávat.

#4 Kit

Musim protože mam texty uložené na databázi. A nepotřebuji aby mi to každej měnil.

Nechápu, proč ti Kit neporadí, když toto je tak jednoduchá záležitost a ty si nad tím lámeš hlavu už 2. den.

Řešení:

$prihlasen = mysql_result(mysql_query("SELECT * FROM `uzivatele` WHERE `jmeno` = '$jmeno' and `heslo` = '$heslo'"), 0);

if($prihlasen == 0) { // "neco se pokazilo", resp. v DB nenalezen řádek s odpovídajícím jménem a heslem }
else if($prihlasen == 1) {  $_SESSION['prihlasen'] = 1; echo "Prihlasen"; //prihlásen }
else if($prihlasen > 1) { // tato podmínka nikdy nesmí nestat (nejspíš už ji odchytáváš při registraci), znamená, že v DB je duplicitní záznam řádku }

Když si nebudeš vědět rady, tak klidně napiš. :)

#6 Xena
Jen pro doplnění: 

$prihlasen = mysql_result(mysql_query("SELECT * FROM `uzivatele` WHERE `jmeno` = '$jmeno' and `heslo` = '$heslo'"), 0);

do prom. s id prihlasen se vloží numerická hodnota značící počet řádků v DB na základě SQL podmínky

#7 Xena
Stále to samé:(

<?php
ob_start();
session_start(); 
if(isset($_POST['odeslano'])){
  require_once 'pripojeni_k_db.php';
  $jmeno = $_POST['jmeno'];
  $heslo = md5($_POST['heslo']);
   
    $prihlasen = mysql_result(mysql_query("SELECT * FROM `uzivatele` WHERE `jmeno` = '$jmeno' and `heslo` = '$heslo'"), 0);

if($prihlasen == 0) { 
echo "Jmeno nebo heslo bylo zadáno špatně."; }
else if($prihlasen == 1) {  
$_SESSION['prihlasen'] = 1; 
echo "Prihlasen"; }
else if($prihlasen > 1) {
echo "Nalezen duplicní záznam, kontaktuj správce. ";
}
}else{
  echo "Něco je špatně.";
}
ob_end_flush();
?>

 V tom případě máš špatné jméno nebo heslo. Zkontroluj záznamy a připojení k DB. Případně si zkus vypsat prihlasen. Jakou hodnotu ti tato prom. vrací?

#9 Xena
Jsem id** :D při založení tabulky sql jsem na heslo nastavil 30 znaků a při překodování do md5 mi 2 znaky chyběli, takže to funguje i na to moje i to tvoje.

Hmm, je vůbec to MD5 nutné?

#11 Xena
Nejspíš ne :)

#12 Jarda
Mam to jen na přezentaci o rybyčkách:D

Pošli link... :)

#14 Xena
Zatim to nemam doménu. zkoušim na apache.

#15 Jarda
Zanech na sebe mail a nejspíše v pondělí to bude a pošlu v mailu

Sak to pak napis sem. Proc to posilat na mail. Taky jsem zvedavy na rybicky :)

#17 peter
Ok, tak až to bude pošlu

#6 Xena
Nechápu, proč ti Kit neporadí, ...

Nebudu mu radit, jak se má střílet do nohy a pořádně to udělat nechce.

SQL injection je tam stále - kdokoli se může stát adminem databáze.

#19 Kit
Kdyby chtěl použít mysqli nebo pdo, tak o tom napíše, ale on chce s mysql query, tak mu dám mysql query. To, že se může stát adminem kdokoli je docela vysoké riziko, stejně tak jako bezpečnost použití MD5... Prostě celý návrh je na kočku...