Salve ragazzi , ho scoperto da poco che delle persone sono entrate nel mio pannello di controllo di un sito , la mia pagina fi login è cosi' formata
admin.php
e poi c'è loginadmin.php cosi' compostaCodice PHP:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//IT">
<html>
<head>
<style>
a
{
text-decoration: none;
}
</style><div id="adminaccesso"><center><td class="riga" bgcolor="#FFFFFF">[url="#"]Torna indietro</td>[/url]<font class="fontprofilo">[b]Per accedere a questa area devi essere abilitato dal webmaster del sito[/b]</font>
<form action="loginadmin.php" method="post">
<font class="fontprofilo">
Nickname
<input type="text" name="nickname">
Password
<input type="password" name="password">
<center><input type="submit" style="font-family:tahoma; font-size:11px;" size="1" value="Accedi" /></center>
</a>
[b]Ricordo che puoi contattare il Webmaster all indirizzo [email="inuaenail"]infomiosito[/email][/b]</font>
</form>
poi c'è pannello.phpCodice PHP:<?
session_start(); //avvio l'utilizzo delle sessioni
include "config.php";
setlocale(LC_TIME, 'it_IT');
// Sessione impostata a 10 min
ini_set('session.gc_maxlifetime', '1800');
//protezione sql injection
if($_POST['nickname'])
$nickname = mysql_real_escape_string($_POST['nickname']);
else
$nickname = "";
//seleziono il database
mysql_select_db('Sql513457_2') or die("Errore apertura database: " . mysql_error());
$selezione="SELECT utente,pass FROM accessoadmin WHERE utente='".mysql_real_escape_string($_POST['nickname'])."' AND pass='".mysql_real_escape_string($_POST['password'])."'";
$eseguisel=mysql_query($selezione);
if (mysql_num_rows($eseguisel) ==1) {
echo "Login effetuato con successo..Attendi";
//ciclo while che mi richiama l'array dei dati selezionati dal database
while($ROW = mysql_fetch_array($eseguisel))
{
//qui vanno settati un po' di SESSIONI
$_SESSION['logged']=1;//setto che l'utente è loggato
}
echo "<script>
alert(\"Ok!!!\");
location = \"miosito/pannello.php\"
</script>";
exit;
} else {
echo "<script>
alert(\"Dati inseriti non corretti!!!\");
location = \"miosito/index.php\"
</script>";
//annullo tutte le chiavi di sessioni se esistono
session_unset();
session_destroy();
exit;
}
?>
Cortesemente mi aiutate a capire dove sta il bug ?Codice PHP:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//IT">
<html>
<head>
<title>Pannello di controllo</title>
<style>
a
{
text-decoration: none;
}
<?
//Apro la sessione e...
session_start();
//verifico che dopo il login io abbia la chiave di sessione ad 1
if($_SESSION['logged']==1){
//recupero i valori dal form precedente
$id = $_SESSION['id'];
}
else {
//altrimenti...
echo "Non sei loggato...";
//annullo tutte le chiavi di sessioni se esistono
session_unset();
session_destroy();
echo "<script>
alert(\"Ok!!!\");
location = \"miosito/index.php\"
</script>";
exit;
} ?>
</style>
<center>[url="miosito/nseriscinews.php"] Inserisci news divertente[/url]
[url="miosito/inseriscinews2.php"] Inserisci news[/url]
[url="miosito/inseriscirecensione.php"] Inserisci recensione[/url]
[url="miosito/inseriscivideo.php"] Inserisci video[/url]
</center>
</body>
</html>
Grazie
Rispondi quotando