php - Log ind system virker ikke - Udvikleren.dk - Programmering, webdesign og grafik

Tags: html php mysql

Bruger #14776 @ 28.09.11 17:14

Hej.

Jeg er stødt ind i et problem, hvor hjemmesiden husker en enkelt bruger, som hedder darkrune, selvom der er andre informationer tastet ind.

Logind.php

PHP kode

 <?php include('connect.php') ?>
 <?php    
     session_start();
     
     $salt = "hatala";
     $evtlastsalt = "haha";
     
     $brugernavn = mysql_real_escape_string($_REQUEST['brugernavn']);
     $adgangskode = mysql_real_escape_string($_REQUEST['adgangskode']);
     $adgangskode = md5($salt.$adgangskode.$evtlastsalt);
     
     $sql = "SELECT * FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
     
     $resultat = mysql_query($sql);
     
     if (mysql_num_rows($resultat) == 1)
     {
         $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";
         $resultat2 = mysql_query($sql2);
         $post = mysql_fetch_array($resultat2);
         
         if ($post['brugertype'] == 1)
         {
             $_SESSION['brugernavn'] = $brugernavn;
             header('Location: admin.php');
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
         }
     }
     else if ($brugernavn == "")
     {
         $fejl = urlencode("Indtast venligst et brugernavn");
         header("Location: logind.php?besked=" . $fejl);
     }
     else if ($adgangskode == "")
     {
         $fejl = urlencode("Indtast venligst en adgangskode");
         header("Location: logind.php?besked=" . $fejl);
     }
     else
     {
         $fejl = urlencode("Forkert brugernavn og/eller adgangskode");
         header('Location: logind.php?besked=' . $fejl);
     }
 ?>

admin.php

PHP kode

 <?php include('connect.php') ?>
 <?php
     session_start();
     
     $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";
     $resultat2 = mysql_query($sql2);
     $post = mysql_fetch_array($resultat2);
     
     if(isset($_SESSION['brugernavn']))
     {
         if($post['brugertype'] == 1)
         {
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
         }
     }
     else
     {
         $fejl = urlencode("Du skal være logget ind!");
         header("Location: logind.php?besked=" . $fejl);
     }
 ?>
 <html>
 <head>
 <title>Admin - Nyheder - Darkrune Gamer Site</title>
 </head>
 <body>
 <?php
 if(isset($_POST['submit']))
 {
 mysql_real_escape_string($titel = $_POST['title']);
 mysql_real_escape_string($kategori = $_POST['category']);
 mysql_real_escape_string($indhold = $_POST['content']);
 mysql_real_escape_string($forfatter = $post['brugernavn']);
 mysql_real_escape_string($dato = $_POST['dato']);
 
 mysql_query("INSERT INTO BlogData VALUES ('', '$titel', '$indhold', '$kategori', '$forfatter', '$dato')");
 echo "Data er blevet sat ind, klik <a href='index.php' target='_blank'>her</a> for at se det!";
 echo "<br/>";
 echo "Du kan også klikke <a href='admin.php'>her</a>, hvis du gerne vil lave endnu en nyhed.";
 }
 else {
 ?>
 <p>Hej <?php echo $post['navn']; ?>, også kendt som <?php echo $post['brugernavn']; ?>.</p>
 <form action="admin.php" method="post">
 <table border="0">
 <tr>
 <td>Titel:</td>
 <td><input type="text" name="title" /></td>
 </tr>
 <tr>
 <td>Kategori:</td>
 <td><input type="text" name="category" /></td>
 </tr>
 <tr>
 <td>Indhold:</td>
 <td><textarea name="content" rows="10" cols="50"></textarea></td>
 </tr>
 <tr>
 <td>Dato:</td>
 <td><input type="text" name="dato" value="<?php echo date("d-m-Y"); ?>" readonly /></td>
 </tr>
 <tr>
 <td><input type="submit" name="submit" value="Lav nyhed!" /></td>
 </tr>
 </form>
 <?php
 }
 ?>
 <p>Man kan lave html i indhold, f.eks kan man lave links med &lt;a href=&quot;url&quot;&gt;Linkets tekst&lt;/a&gt;
 <br />
 Man laver ny linje ved at indsætte &lt;br /&gt;</p>
 <p><a href="logud.php">Log ud!</a></p>
 </body>

Problemet er nemlig at hvis jeg logger ind med en test bruger, som ikke har brugertype 1, så logger den alligevel ind som darkrune. Når jeg logger ud ser den sådan ud.

Logud.php

PHP kode

 <?php
     session_start();
     session_destroy();
     
     echo "Du er nu blevet logget ud. Gå tilbage <a href='http://www.darkrune.dk/nyheder'>her</a>.";
 ?>

Nogle som ved hvordan man klare sådan et problem?

På forhånd tak

9 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #955 @ 29.09.11 09:33

1.624

Du skal kigge på de her linjer:

PHP kode

 $sql = "SELECT * FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
 
 $resultat = mysql_query($sql);
     
 if (mysql_num_rows($resultat) == 1)
 {
 $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";

Først finder du brugeren. Det er fint nok.

Men den næste SQL. Der henter du sådan set alt fra brugere-tabellen. Du definerer ikke hvilken bruger der skal hentes data om. Derfor hvis "darkrune" er den første bruger i tabellen, så er det ham der bliver logget ind.

Bruger #955 @ 29.09.11 15:55

1.624

Problemet er altså, at jeg bruger

PHP kode

 $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";

Jeg du vælger ALLE data fra tabellen. Du mangler en selektor, hvor du definerer for hvilken bruger du ønsker data.

Dvs. til sidst mangler der "WHERE ID=??".

Altså. Fra den første forespørgsel, gemmer du det id som bliver returneret. Derefter bruger du dette id, til den næste forspørgsel.

Her er 2 eksempler, så du kan se forskellen:
SELECT id, navn from brugere
resultat:
1 - darkrune
2 - lightrune
3 - bjørnenbjarnen
....osv

SELECT id, navn from brugere where id=2
resultat:
2 - lightrune

Edit - tilføjer lige et eksempel på, hvordan du kan lave rettelsen i din kode.

PHP kode

 $sql = "SELECT id FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
  
 $resultat = mysql_query($sql);
 
 //!!!!
 $row = mysql_fetch_array($resultat);
 //!!!!
 
 if (mysql_num_rows($resultat) == 1)
 {
 $sql2 = "SELECT id, navn, ... WHERE ID=".$row['id'];

Indlæg senest redigeret d. 29.09.2011 16:01 af Bruger #955

Bruger #955 @ 29.09.11 18:29

1.624

Sådan da. Du laver samme stunt i admin.php, hvor du har samme udtræk.

Lad os prøve at ændre lidt i koden.

I login.php, laver du en session efter brugeren er logget på. Her gemmer du brugerens navn. Jeg ville råde dig til, at lave det om til brugerens id, for at gøre det helle lidt nemmere

PHP kode

 if ($post['brugertype'] == 1)
          {
              $_SESSION['brugerid'] = $row[id];
              header('Location: admin.php');
          }

I din admin.php vil jeg rykke lidt rundt. Jeg vil starte med at tjekke om sessionen brugerid er sat. Derefter bruge det id, til at lave et db udtræk:

PHP kode

 <?php include('connect.php') ?>
 <?php
      session_start();
      if(isset($_SESSION['brugerid']))
      {
           $id = $_SESSION['brugerid'];
 
      
      $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, gnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere where ID=".$id;
      $resultat2 = mysql_query($sql2);
      $post = mysql_fetch_array($resultat2);

Indlæg senest redigeret d. 29.09.2011 18:30 af Bruger #955

Bruger #955 @ 30.09.11 08:29

1.624

Prøv at flyt:
$id = $_SESSION['brugerid'];
sådan her:

PHP kode

 <?php include('connect.php') ?>
  <?php
      session_start();
      
      if(isset($_SESSION['brugerid']))
      {
 $id = $_SESSION['brugerid'];
 
      $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere WHERE id=".$id;
      $resultat2 = mysql_query($sql2);
      $post = mysql_fetch_array($resultat2);    
  
      if($post['brugertype'] == 1)
          {
                   }
          else
          {
 ...........

Bruger #15663 @ 29.09.11 09:24

415

Hej Darkrune.

Der er lidt problemer hist og her i din kode.

Jeg har lavet en simpel version (uden sikkerhed)

Logind

PHP kode

 <?php 
 session_start();
 require("connect.php");
 
 if(isset($_POST['submit']))
 {
 $username = $_POST['username'];
 $password = $_POST['password'];
 
 $sql = mysql_query("SELECT * FROM brugere WHERE username = '$username' AND password = '$password'");
 
 if(mysql_num_rows == 1)
 {
 while($row = mysql_fetch_array($sql))
 {
 $_SESSION['user_id'] = $row['id'];
 $_SESSION['username'] = $row['brugernav'];
 $_SESSION['user_type'] = $row['brugertype'];
 
 header("Location: admin.php");
 }
 }
 }
 ?>

Admin

PHP kode

 <?php
 session_start();
 require("connect.php");
 
 if(isset($_SESSION['user_id'])||$_SESSION['user_type'] == 1)
 {
 echo "Adgang tilladt";
 }
 else
 {
 header("Location: logind.php");
 }
 ?>

Koden er ikke testet og er på ingen måde sikret.
Jeg håber det kan give dig et prej.

Bruger #14776 @ 29.09.11 14:27

Du skal kigge på de her linjer:
PHP kode
 $sql = "SELECT * FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
 
 $resultat = mysql_query($sql);
     
 if (mysql_num_rows($resultat) == 1)
 {
 $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";
Først finder du brugeren. Det er fint nok.

Men den næste SQL. Der henter du sådan set alt fra brugere-tabellen. Du definerer ikke hvilken bruger der skal hentes data om. Derfor hvis "darkrune" er den første bruger i tabellen, så er det ham der bliver logget ind.

Problemet er altså, at jeg bruger

PHP kode

 $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";

Bruger #14776 @ 29.09.11 17:27

Problemet er altså, at jeg bruger
PHP kode
 $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere";
?
Jeg du vælger ALLE data fra tabellen. Du mangler en selektor, hvor du definerer for hvilken bruger du ønsker data.

Dvs. til sidst mangler der "WHERE ID=??".

Altså. Fra den første forespørgsel, gemmer du det id som bliver returneret. Derefter bruger du dette id, til den næste forspørgsel.

Her er 2 eksempler, så du kan se forskellen:
SELECT id, navn from brugere
resultat:
1 - darkrune
2 - lightrune
3 - bjørnenbjarnen
....osv

SELECT id, navn from brugere where id=2
resultat:
2 - lightrune

Edit - tilføjer lige et eksempel på, hvordan du kan lave rettelsen i din kode.

PHP kode
 $sql = "SELECT id FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
  
 $resultat = mysql_query($sql);
 
 //!!!!
 $row = mysql_fetch_array($resultat);
 //!!!!
 
 if (mysql_num_rows($resultat) == 1)
 {
 $sql2 = "SELECT id, navn, ... WHERE ID=".$row['id'];

nu ser logind.php sådan her ud:

PHP kode

 <?php include('connect.php') ?>
 <?php    
     session_start();
     
     $salt = "hatala";
     $evtlastsalt = "haha";
     
     $brugernavn = mysql_real_escape_string($_REQUEST['brugernavn']);
     $adgangskode = mysql_real_escape_string($_REQUEST['adgangskode']);
     $adgangskode = md5($salt.$adgangskode.$evtlastsalt);
     
     $sql = "SELECT id FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
     
     $resultat = mysql_query($sql);
     $row = mysql_fetch_array($resultat);
     
     if (mysql_num_rows($resultat) == 1)
     {    
         $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere WHERE ID=".$row['id'];
         $resultat2 = mysql_query($sql2);
         $post = mysql_fetch_array($resultat2);    
         
         if ($post['brugertype'] == 1)
         {
             $_SESSION['brugernavn'] = $brugernavn;
             header('Location: admin.php');
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
         }
     }
     else if ($brugernavn == "")
     {
         $fejl = urlencode("Indtast venligst et brugernavn");
         header("Location: logind.php?besked=" . $fejl);
     }
     else if ($adgangskode == "")
     {
         $fejl = urlencode("Indtast venligst en adgangskode");
         header("Location: logind.php?besked=" . $fejl);
     }
     else
     {
         $fejl = urlencode("Forkert brugernavn og/eller adgangskode");
         header('Location: logind.php?besked=' . $fejl);
     }
 ?>

Men den laver stadig samme fejl, med at den vælger brugeren darkrune. Har jeg gjort det forkert?

Bruger #14776 @ 29.09.11 18:53

Sådan da. Du laver samme stunt i admin.php, hvor du har samme udtræk.

Lad os prøve at ændre lidt i koden.

I login.php, laver du en session efter brugeren er logget på. Her gemmer du brugerens navn. Jeg ville råde dig til, at lave det om til brugerens id, for at gøre det helle lidt nemmere

PHP kode
 if ($post['brugertype'] == 1)
          {
              $_SESSION['brugerid'] = $row[id];
              header('Location: admin.php');
          }
I din admin.php vil jeg rykke lidt rundt. Jeg vil starte med at tjekke om sessionen brugerid er sat. Derefter bruge det id, til at lave et db udtræk:

PHP kode
 <?php include('connect.php') ?>
 <?php
      session_start();
      if(isset($_SESSION['brugerid']))
      {
           $id = $_SESSION['brugerid'];
 
      
      $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, gnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere where ID=".$id;
      $resultat2 = mysql_query($sql2);
      $post = mysql_fetch_array($resultat2);

Det virker næsten, men nu kan den ikke udskrive data fra databasen på admin.php, som ser således ud:

PHP kode

 <?php include('connect.php') ?>
 <?php
     session_start();
     
     if(isset($_SESSION['brugerid']))
     {
     $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere WHERE id=".$id;
     $resultat2 = mysql_query($sql2);
     $post = mysql_fetch_array($resultat2);    
 
     if($post['brugertype'] == 1)
         {
         $id = $_SESSION['brugerid'];
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
         }
     }
     else
     {
         $fejl = urlencode("Du skal være logget ind!");
         header("Location: logind.php?besked=" . $fejl);
     }
 ?>
 <html>
 <head>
 <title>Admin - Nyheder - Darkrune Gamer Site</title>
 </head>
 <body>
 <?php
 if(isset($_POST['submit']))
 {
 mysql_real_escape_string($titel = $_POST['title']);
 mysql_real_escape_string($kategori = $_POST['category']);
 mysql_real_escape_string($indhold = $_POST['content']);
 mysql_real_escape_string($forfatter = $post['brugernavn']);
 mysql_real_escape_string($dato = $_POST['dato']);
 
 mysql_query("INSERT INTO BlogData VALUES ('', '$titel', '$indhold', '$kategori', '$forfatter', '$dato')");
 echo "Data er blevet sat ind, klik <a href='index.php' target='_blank'>her</a> for at se det!";
 echo "<br/>";
 echo "Du kan også klikke <a href='admin.php'>her</a>, hvis du gerne vil lave endnu en nyhed.";
 }
 else {
 ?>
 <p>Hej <?php echo $post['navn']; ?>, også kendt som <?php echo $post['brugernavn']; ?>.</p>
 <form action="admin.php" method="post">
 <table border="0">
 <tr>
 <td>Titel:</td>
 <td><input type="text" name="title" /></td>
 </tr>
 <tr>
 <td>Kategori:</td>
 <td><input type="text" name="category" /></td>
 </tr>
 <tr>
 <td>Indhold:</td>
 <td><textarea name="content" rows="10" cols="50"></textarea></td>
 </tr>
 <tr>
 <td>Dato:</td>
 <td><input type="text" name="dato" value="<?php echo date("d-m-Y"); ?>" readonly /></td>
 </tr>
 <tr>
 <td><input type="submit" name="submit" value="Lav nyhed!" /></td>
 </tr>
 </form>
 <?php
 }
 ?>
 <p>Man kan lave html i indhold, f.eks kan man lave links med &lt;a href=&quot;url&quot;&gt;Linkets tekst&lt;/a&gt;
 <br />
 Man laver ny linje ved at indsætte &lt;br /&gt;</p>
 <p><a href="logud.php">Log ud!</a></p>
 </body>

Med data mener jeg f.eks. $post['navn'] og $post['brugernavn']. Desuden så giver den følgende fejlmeddelelse:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/admin.php on line 9 Warning: Cannot modify header information - headers already sent by (output started at /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/admin.php:9) in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/admin.php on line 18

Indlæg senest redigeret d. 29.09.2011 20:33 af Bruger #14776

Bruger #14776 @ 30.09.11 20:50

Tusind tak, det virker nu som jeg ville have det

Log ind system virker ikke

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler