Login!

**nephilim89** · 27-02-2010, 23:59

ciao! sto scrivendo uno script x effettuare il login ma non funziona.Si tratta di un semplice form che richiede Nome e Password dell'utente,che andranno poi confrontati con quelli esistenti nella tabella Utenti del db.ecco il codice:

Codice PHP:


echo'<form action="questostessoscript.php" method="post">

<label for="nome">Nome:</label>

<input type="text" name="nome"></br>

<label for="pass">Password:</label>

<input type="password" name="pass"></br>

<input type="submit" name="log" value="Login">

</form>';



if(isset($_POST['log']))

{

$connessione=mysql_connect("localhost","user","pass");

mysql_select_db("db",$connessione);

@$querylog="SELECT '".$_POST['nome']."' FROM utenti WHERE `nome` = '".$_POST['nome']."'";



if ($log=mysql_query($querylog))

echo"Login effettuato!";

else echo "niente login";

mysql_close($connessione);

}

mi rende la echo "Login effettuato!" sempre,anche se il nome che inserisco nel form nn esiste.
(qui manca il controllo della password,che aggiungerò dopo aver risolto questo)
illuminatemi!

**Elmapomap** · 28-02-2010, 00:05

if ($log=mysql_query($querylog))

E' sbagliato come fai la query, come sopra citato l'if restituisce sempre true.

**E.d.i.73** · 28-02-2010, 00:16

La query corretta è questa:

Codice PHP:


if(isset($_POST['log']))

{

$connessione=mysql_connect("localhost","user","pass");

mysql_select_db("db",$connessione);

$querylog="SELECT $_POST[nome] FROM utenti WHERE nome = '$_POST[nome]'";



if (mysql_query($querylog))

{

echo"Login effettuato!";

}

else

{ echo "niente login";

}

mysql_close($connessione);

}

**E.d.i.73** · 28-02-2010, 20:29

Mi correggo in questo modo!forse causa stanchezza ho scritto una banalità

Codice PHP:


$querylog="SELECT nome FROM utenti WHERE nome = '$_POST[nome]'";

**mtx_maurizio** · 28-02-2010, 21:41

Beh, non è male come sistema di autenticazione. Basta inserire un nome utente qualsiasi e si è autenticati....

Forse bisogna cercare una riga nella quale il nome utente inserito corrisponda alla password.
Poi direi che non è sufficiente eseguire la query. Bisognerebbe verificare con mysql_num_rows che risulti una riga che corrisponde alle richieste.
Infine questo codice è vulnerabilissimo ad attacchi basati su sql injection

**nephilim89** · 28-02-2010, 22:35

@Elmapomap: dici che la if controlla solo se viene eseguita la query,non se funziona correttamente?

@E.d.i.73: grazie per la risposta,purtroppo però non funziona! il tuo codice mi da sempre la echo "niente login"

@mtx_maurizio:come ho scritto all inizio del post,inserirò anche il controllo della password,ma ora non posso dato che non so come funziona nemmeno quello x il nick!

comunque puoi spiegarmi in cosa consistono gli attacchi sql injection?

grazie a tutti per le risposte!

**mtx_maurizio** · 28-02-2010, 22:49

Leggi questo

http://www.mtxweb.ch/php_learn/?p=864

Se vuoi realizzare uno script di autenticazione, sono cose che devi assolutamente conoscere.
------------------------

- Non controllare l'esecuzione della query, ma l'effettiva esistenza della riga nel db.

Codice PHP:


$res = mysql_query($querylog);



if(mysql_num_rows($res))

{

   .....

**nephilim89** · 28-02-2010, 23:16

ok cosi funziona perfettamente!
ho letto l'articolo,molto interessante!complimenti per il sito!

grazie mille

Discussione: Login!

Strumenti discussione

Ricerca discussione

Visualizza

Login!

Permessi di invio