VPF::Форма регистраций на php - Форум программистов

Shark

Дата 8.4.2016, 07:02 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Участник
Сообщений: 703
Регистрация: 18.6.2006
Где: Москва

Репутация: 4
Всего: 4

Код


    # Вытаскиваем из БД запись, у которой логин равняеться введенному
    $data = mysqli_fetch_array(mysqli_query($conn,"SELECT user_login, user_password, admin FROM users WHERE user_login='$uname' "));
    
    # Сравниваем введенный логин и пароль
    if($data['user_password'] === md5($_POST['upass']) and $data['user_login'] == $_POST['uname'] ) {
        header('Refresh:0; URL = index.php'); 
    }    
    else {
        print ("<p>Вы ввели неправильный логин или пароль</p>");
    }

на

Код


    # Вытаскиваем из БД запись, у которой логин равняеться введенному
    $data = mysqli_fetch_array(mysqli_query($conn,"SELECT user_login, user_password, admin FROM users WHERE user_login='".htmlspecialchars($uname)."' AND user_password = '".htmlspecialchars($_POST['upass']."' "));
    
    # Сравниваем введенный логин и пароль
    if($data)  
        {  
           $_SESSION['user'] = $data['user_login']; // Для вывода имени пользователя
           $_SESSION['admin'] = $dara['admin']; // 0 или 1 будет в сессии
           header('Refresh:0; URL = index.php'); 
        }    
    else {
        print ("<p>Вы ввели неправильный логин или пароль</p>");
    }

Далее, если пользователь тыкается в админку делай проверку $_SESSION['admin'] и $_SESSION['user'] со столбцами в БД (admin и user_login соответственно) после чего, переводишь юзверя либо в админку (если все совпало), либо на index.php, можно вывести и текст, что он не админ и ему доступ запрещен.

Грубый набросок.. но смысл я думаю ты понял

--------------------

Смерть - это только начало...
Агентство недвижимости Premial

whatisnot

Дата 8.4.2016, 19:32 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 130
Регистрация: 14.12.2014

Репутация: 1
Всего: 2

Цитата(Shark @ 8.4.2016, 07:02

)

user_login='".htmlspecialchars($uname)."'

А htmlspecialchars в чем провинился то? Его то зачем сюда? smile

_zorn_

Дата 8.4.2016, 20:22 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1077
Регистрация: 21.8.2007

Репутация: 6
Всего: 12

Цитата(whatisnot @ 9.4.2016, 02:32

)

А htmlspecialchars в чем провинился то? Его то зачем сюда?

До кучи.
Хорошо определяет "непонимающих что делаю" пхп програмистов.

ksnk

Дата 8.4.2016, 21:00 (ссылка)

(нет голосов)

Загрузка ...

прохожий

Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386

whatisnot, Вообрази на мгновение, что $username="Д'Артаньян".

--------------------

Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image

whatisnot

Дата 9.4.2016, 10:26 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 130
Регистрация: 14.12.2014

Репутация: 1
Всего: 2

Цитата(ksnk @ 8.4.2016, 21:00

)

whatisnot, Вообрази на мгновение, что $username="Д'Артаньян".

И что, это есть основание пакостить текст перед помещением его в базу? А есть еще горе кодеры, начитавшись страхов, но так и не понявших, что htmlspecialchars и htmlentities не для безопасности баз данных. Прогонят текст через htmlentities, а потом на форумах с недоумением спрашивают - что за хрень и как бороться.

mysql_real_escape_string нужен, а не заниматься бредом. Да и вообще, оригинальный MySQL пора забывать, использовать либо mysqli, либо PDO.

Добавлено через 3 минуты и 3 секунды

Цитата(_zorn_ @ 8.4.2016, 20:22

)

Хорошо определяет "непонимающих что делаю" пхп програмистов.

Ага, вижу вы дока РНР, но назначение htmlspecialchars вряд ли вы понимаете, судя по комментарию.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| PHP: Общие вопросы \| Следующая тема »