piccolo dubbio script login amatoriale

[FireFox_07]

salve ragazzi di HTMl.it mi presento sono Andrea da torino vi scrivo perchè ultimamente mi sono imbattuto nei vostri post su come creare delle login e devo dire mi sono piaciuti parecchio, specialmente perchè includono metodi di sicurezza quali lo sha1 e le protezioni verso le injection al db....giusto giusto ieri vado per testare il mio script ma niente nn funziona, mi riporta sempre alla pagina dell'area riservata con la richiesta di login anche se è appena stato fatto...
se e quando potete vi pregherei di darmi una mano ^^

file di login_verify.php:

Codice PHP:

<?php 
ob_start(); 
     $log = mysql_connect("localhost","root","") or die("cannot connect");             
               mysql_select_db("sito", $log) or die("cannot select DB"); 

// username and password inviati dal form 
$nick=strip_tags($_POST['nick']);
$pass=strip_tags(sha1($_POST['pass'])); 

// protezione MySQL injection 
$protect_nick = stripslashes($nick); 
$protect_pass = stripslashes($pass); 
$protect_nick = mysql_real_escape_string($nick); 
$protect_pass = mysql_real_escape_string($pass); 

$sql="SELECT * FROM utenti WHERE nickname='$nick' and password='$pass'"; $result=mysql_query($sql); 

// Mysql_num_row conta il numero di righe della tabella 
$count=mysql_num_rows($result); 

// se $myusername e $mypassword danno qualche riscontro, restituisce una sola riga if($count==1){ 

// registra la sessione 
$_SESSION["autorizzato"] = 1; 

// $protect_nick, $protect_pass e reindirizza al file "login_success.php" 
$_SESSION['nick'] = $protect_nick; 

// Redirect alla pagina riservata 
echo '<script language=javascript>document.location.href="index.php"</script>'; 
} else { 

// Username e password errati, redirect alla pagina di login 
echo '<script language=javascript>document.location.href="main_login.php"</script>'; } ob_end_flush(); ?>

file di check_login.php:

Codice PHP:

<?php session_start();
 if ($_SESSION["autorizzato"] != 1) { 
echo "<h1>Area riservata, accesso negato.</h1>"; 
echo "

Per effettuare il login clicca [url='main_login.php']<font color='blue'>qui</font>[/url]</p>";
die; 
} ?>

file index.php:

Codice PHP:

<?php include("check_login.php"); 
session_start(); 
$protect_nick = $_SESSION['nick']; 
?>

[bstefano79]

non so se ci sono altre cose, ma la prima che mi è risaltata all'occhio è questa

Codice PHP:

<?php include("check_login.php");  
session_start();  
$protect_nick = $_SESSION['nick'];  
?>

cambia così

Codice PHP:

<?php
session_start();

include("check_login.php");  

$protect_nick = $_SESSION['nick'];  
?>

[bstefano79]

quest'altra cosa non è un errore, ma visto che suppongo che controlli che non ci siano 2 nick uguali questo pezzo di codice lo puoi semplificare

Codice PHP:

 $result=mysql_query($sql);  

// Mysql_num_row conta il numero di righe della tabella  
$count=mysql_num_rows($result);  

// se $myusername e $mypassword danno qualche riscontro, restituisce una sola riga 
if($count==1){

.................... 


così

Codice PHP:

// se $myusername e $mypassword danno qualche riscontro, restituisce una sola riga 
if($result=mysql_query($sql)){
................ 


[FireFox_07]

a tempo di record, ho provato lo script che gentilmente mi hai postato, ma niente, mi riporta sempre alla pagina di login.(piccola cosa che mi sono dimenticato di scrivere prima, io in genere le session start le metto prima del DOCTYPE).

[bstefano79]

hai controllato che la query ti tiri su qualcosa?

[FireFox_07]

inserire un echo dopo la query select????

[FireFox_07]

fatto mi dice resource #id3 devo dedurre che peschi il terzo nominativo in lista

[bstefano79]

si qualcosa del genere

[FireFox_07]

credo che siano le $_session che non vadano, anche se sintatticamente mi paiono giuste, nel login_verify fa' la registrazione della sessione e dice di tenere in memoria il protect_nick. solo che non lo tiene per le altre pagine...

la cosa seccante è che se commento l'include nella pagina index.php allora lo script funziona, ma dal lato mio risulta una cavolata, quel file mi serve proprio perchè se non sei collegato ti deve dire hey johnny ma che combini loggati prima di visitare quella pagina. UFF!!!

[bstefano79]

posta anche main_login.php, non vedo dove chiami il verify, nel verify poi manca totalmente il sessi session_start