Nie działająca sesja i funkcja POST

0

Witam,

Pisząc strone w php za pomocą Krasnala (w szkole), wszystko działało bez zarzutu.
Postanowiłem się zmobilizować i popracować trochę w domu - zainstalowałem program Xampp (kolega polecił jako zamiennik Krasnala) i zaczęły się drobne problemy.

W plikach, po otworzeniu ich przez localhost, przeglądarka zaczęła pokazywać błędy - przypisanie $_POST[" "] oraz błąd z sesją, a konkretnie mogę wchodzić na podstrony, które mają odsyłać mnie na stronę logowania, jeśli nie jestem zalogowany - sesja miała do takich zachowań nie dopuścić. Pod Krasnalem wszystko działało ładnie, pięknie a teraz nie wiem co mam w tej kwestii uczynić - może to problem ze źle skonfigurowanym Xamppem?

Z góry dzięki wielkie za jakąkolwiek pomoc i zaangażowanie. :)

PS. Wesołych Świąt!

1

$_POST to raczej tablica a nie funkcja, więc stosuj $_POST['nazwa_indexu']

0

Zgadza się, źle przepisałem i wziąłem za funkcję - wiem już dlaczego nie działa, więc problem dotyczy jedynie sesji.
Przy tablicy POST wyskakiwały błędy, bo jeszcze przed wysłaniem formularza próbowało pobrać login i hasło.

0

będzie prościej jak przekleisz treść błędu

błąd z sesją i przekierowaniem to zapewne Twój błąd - i to zabezpieczenie nawet na krasnalu da się obejść w 3 sekundy ;) tu znowu pasowałby kod.

BTW: dwie najważniejsze rzeczy na forach programistycznych:

  1. pokaż kod
  2. przeklej treść błędu
0

Błąd: '; } else { $_SESSION['login'] = $login; $_SESSION['password'] = $haslo; $_SESSION['zalogowany'] = 'user'; header("Location: glowna.php"); exit(); } ?>
A oto kod w pliku logowanie.php:

<?
session_start();

mysql_connect("localhost", " ", " ") or
        die("Nie mozna polaczyc sie z MySQL");
mysql_select_db("strona") or
        die("Nie mozna polaczyc sie z baza 'strona'");

$login = $_POST['login'];
$haslo = $_POST['password'];

if (isSet($_SESSION['zalogowany'])) {
    header("Location: glowna.php");
    exit();
}

$log = mysql_query("SELECT * FROM users WHERE login = '$login' && password = '$haslo'"); // sprawdzenie czy istnieje uzytkownik o takim nicku i hasle

if (mysql_num_rows($log) == 0 || (empty($login['login']) || empty($haslo['password']))) {
    echo '</br><center>Logowanie nieudane. Sprawdz pisownie nicku oraz hasla.</center></br></br>'; //tu sie blad zaczyna
} else {
    $_SESSION['login'] = $login;
    $_SESSION['password'] = $haslo;

    $_SESSION['zalogowany'] = 'user';
    header("Location: glowna.php");
    exit();
}
?>

Od razu mówię, że nie jestem doświadczonym użytkownikiem php, więc na pewno znajdziecie lepsze rozwiązania - grunt, że sam się czegoś nauczę ;)

0

  1. to nie jest błąd (treść błędu), to jest kawałek kodu.

  2. php ZAWSZE otwieraj przez <?php, nie przez samo <? - to drugie jest stare i nieładne i czasem prowadzi do problemów

login = '$login' && password = '$haslo'

to po pierwsze jest poważna dziura (google: sql injection)
a po drugie && w MySQL? Chyba nie bardzo, zamień na AND

  1. Zamiast mysql_num_rows niech zapytanie brzmi: SELECT COUNT(*) as cnt FROM ...., a potem zawsze wybierasz jeden wiersz przy pomocy $row = mysql_fetch_assoc($zapytanie) i sprawdzasz wartość z tablicy np. $row['cnt']. To Twoje też zadziała oczywiście, ale niepotrzebnie wybiera cały wiersz danych (różnica w użyciu pamięci i szybkości działania skryptu).

  2. Zamiast używać funkcji mysql_ (które na najnowszym PHP NIE DZIAŁAJĄ, ponieważ są stare i niebezpieczne) użyj biblioteki PDO. Kod taki jak Twój (choć zabezpieczony przez SQL Injection) jest pokazany w dokumencie pt. "Jak to się robiło kiedyś? - tytuł chyba wiele sugeruje ;) Krótko o bibliotece PDO masz np. tutaj (ogólnie pierwszy raz rzuciłem na to źródło okiem i wygląda niegłupio - może zapoznaj się ze spisem treści i z tego źródła się ucz (zamiast aktualnie używanego).

  3. Twój kod nie robi nic oprócz wyświetlenia treści błędu w przypadku niepoprawnego hasła. Tak ma być?

  4. if (mysql_num_rows($log) == 0 || (empty($login['login']) || empty($haslo['password']))) - za dużo o jeden nawias zamykający (drugie sprawdzenie empty nie jest wzięte w nawias)

  5. W jaki sposób wywołujesz ten kod? Includujesz go na każdej podstronie czy ... ?

  6. empty powoduje, że przez logowanie nie przejdą loginy (i hasła) złożone np. z samych zer.

0

Jeszcze raz przypomnę, że na Krasnalu cały ten system działał w takiej formie bezbłędnie. :)

  1. Wyświetlało mi tak za każdym razem na stronie, sądziłem, że ma to coś wspólnego z błędem. Dopisałem** 'php'** po** '<?' **i już nie pokazuje tego wpisu (nie traktuje tego jako tekst nanoszony na stronę).
    Teraz wyświetla, jak już mówiłem, w przypisywaniu z tablicy POST. A błąd jest tylko jednorazowy, bo po wysłaniu formularza posiada już instancję. A oto błędy (w rejstracji są identyczne):
Notice: Undefined index: login in ...\htdocs\phpfiles\sklep\logowanie.php on line 9
Notice: Undefined index: password in ...\htdocs\phpfiles\sklep\logowanie.php on line 10

  1. Wyżej opisane. :)

  2. Piszę w Javie, więc takie przyzwyczajenie, poza tym nie pokazuje błędu, stąd wnioskowałem, że może być pisane też w taki sposób.

  3. W przypadku kiedy hasło i login będą się zgadzały przenosi do strony główna.php:

[...] else {
    $_SESSION['login'] = $login;
    $_SESSION['password'] = $haslo;
 
    $_SESSION['zalogowany'] = 'user';
    header("Location: glowna.php");
    exit();

  1. Nie jest, ponieważ sprawdzam jako całość empty(login i haslo), choć w tym warunku jest to zupełnie niekonieczne, bo wcześniej też jest oparator 'OR'.

  2. Nic nie includowałem. Dodawałem jedynie:

if (!isSet($_SESSION['zalogowany'])) {
    header("Location: logowanie.php");  //sprawdzam, czy jestem zalogowany
    exit();
}

a w przypadku rejstracji najważniejszą częścią kodu jest:

$log = mysql_query("SELECT * FROM users WHERE login = '$login'"); //sprawdzamy czy zajety jest juz login

if (mysql_num_rows($log) == 1 || (empty($login['login']) || empty($haslo['password']))) {
    echo '<br><center>Rejstracja nieudana. Login jest juz zajety przez innego uzytkownika!</center><br><br>';
} else {
    $ins = @mysql_query("INSERT INTO users SET login='$login', password='$haslo'");

    if ($ins) {
        echo "<br><center>Uzytkownik zostal dodany poprawnie.<br></center>";
        header("Location: logowanie.php");

        exit();
    } else
        echo "<br><center>Blad - nie udado sie dodac nowego uzytkownika.<br></center>";
}

4, 5, 9. Wezmę pod uwagę i zastosuję. :)

1

Jeszcze raz przypomnę, że na Krasnalu cały ten system działał w takiej formie bezbłędnie.

Wiesz dlaczego m.in. tak bardzo hejtują PHP? Bo inny serwer, inna konfiguracja, i strona leży i kwiczy, szczególnie, jeżeli autor przygotował ją tak, że działa tylko na jednej określonej konfiguracji. Dlatego, że inna wersja PHP zmienia często tak dużo, że to się we łbie nie mieści (np. funkcja session_start() - patrz tabela)
Changelog

Version Description
5.3.0 If a session fails to start, then FALSE is returned. Previously TRUE was returned.
Odwrócenie zwrotki to jakiś totalny chaos. Albo czym prędzej porzuć ten język, albo przygotuj się na totalne zagłębienie wszystkich szczegółów PHP, inaczej w Twoich aplikacjach będzie roić się od błędów (btw: w 90% stron napisanych w php jestem w stanie odnaleźć COŚ, co jest skopane. czasem problem z wyświetlaniem, czasem security bug).
Póki co - nie argumentuj, że gdzieś lub kiedyś działało - teraz nie działa i trzeba naprawić ;)

  1. Klepałeś w javie i nie wiesz o co chodzi? Odwołujesz się do elementu tablicy, który nie istnieje. Albo przed robieniem czegokolwiek z tym elementem sprawdzasz go przez isset. Albo robisz coś, co Cię nauczy brzydkich nawyków -> tłumisz błędy. Szukaj za php error hide w Google, a najlepiej za php errors logging, żeby sobie takie błędy logować do pliku.

  2. Sprawdziłem - u mnie faktycznie również działa. Ale NIGDY się nie spotkałem z takim zapisem i nie mam pojęcia od której wersji to wprowadzili. Dla pewności robiłbym tak jak "wszędzie". Ułatwi to też w razie czego przesiadkę na inny silnik bazodanowy, który może nie odbiegać tak bardzo od "typowego" SQL z AND-ami.

  3. Pytałem co w przypadku, kiedy się nie zgadza ;)

  4. A faktycznie z tym nawiasem, tego nie zauważyłem, strzelałem, że tam jest błąd składniowy, bo wkleiłeś tę linię, ale nie podałeś treści błędu (którego nie było w sumie, bo nie miałeś wystartowanego trybu php i cały kod był traktowany jako html - to przez ten brak <?php).

7.1) Ale chyba chciałeś tam sprawdzać $login, a nie $login['login']?
7.2) Z tym empty i zerami -> http://ideone.com/iEuWCc

  1. też sql injection, problem z empty i $login['login'] :P
0

Póki co - nie argumentuj, że gdzieś lub kiedyś działało - teraz nie działa i trzeba naprawić

I zgadzam się z Tobą, ale nie znaczy to, że ja cokolwiek argumentowałem. Po prostu zwróciłem na to uwagę.

  1. Wystarczyło doczytać:

Teraz wyświetla, jak już mówiłem, w przypisywaniu z tablicy POST. A błąd jest tylko jednorazowy, bo po wysłaniu formularza posiada już instancję.

  1. Tak jak napisałeś wyżej. Wyrzuca komunikat, i tak ma być. ;)

7.1. Dokładnie, poprawiłem i już działa, przynajmniej to. Przkierowuje do głównej, lecz nie pobiera loginu (nie wyświetla go na innych stronach, aby było widoczne jako kto jest się zalogowanym), hasła - niczego - do tablicy $_POST.
Btw, zastanawiam się jak mogło to działać wcześniej.. I niestety, ta naprawa nie dowodzi, że sesja dalej działa poprawnie, bo loguję się sprawdzając jedynie zmienne tymczasowe dla tego pliku, a nie globalne z sesji.

1 użytkowników online, w tym zalogowanych: 0, gości: 1