Ciao Maverick grazie per la disponibilita'.
Io ho gia'iniziato a modificare il codice, in pratica nel file di login ho tolto i riferimenti al controllo dell'username e dopo aver creato nella tabella del db un nuovo campo dal nome pswadm2 ho editato il file di login sostituendo pswadm con pswadm2 ovunque menzionato.
Ho poi creato una pagina di accesso per test che è questa:
http://www.argenteriadabbene.com/Italiano/test.html
Password di test:ciao
Che apre correttamente il file che ho scritto manualmente nel db(in questo caso pippo.php)
L'unico problema è che devo forzatamente completare anche gli altri campi della tabella anche se non necessari in quanto il db li richiede...
ORA devo invece modificare il codice php di protezione delle pagine....vediamo che combino...
Se vuoi dare una spulciata questo è il codice della pagina di login modificato da me:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<?
$nomedb = "nomedb";
$nometab = "nometab";
$connes = mysql_connect("localhost","user","password") or die ("Connessione Impossibile" .mysql_error());
$db = mysql_select_db($nomedb,$connes) or die ("Database non selezionato" .mysql_error());
$pswadm=$_POST['pswadm'];
$cersql="SELECT * FROM $nometab WHERE pswadm2='$pswadm2'";
$esegui = mysql_query($cersql,$connes);
$righe = mysql_num_rows($esegui);
$riga = mysql_fetch_array($esegui);
if ($righe == 0)
{
$oggi= date ("d-m-Y H:i:s");
mysql_query("lock table logerror write", $connes);
$codsql="SELECT Max(cod) FROM logerror";
$esegui=mysql_query($codsql,$connes);
$n = mysql_fetch_array($esegui);
$newcod=$n[0]+1;
$inssql = "INSERT INTO logerror (cod, pswadm2, dataora) VALUES ($newcod,'$pswadm2','$oggi')";
$eseins=mysql_query($inssql,$connes) or die (mysql_error());
mysql_query("unlock tables", $connes);
echo "<html><head><title>Errore</title></head><body bgcolor='#FFFFFF'>";
echo "<p align='center'><font face='Verdana' size='3'>Utente $username non riconosciuto</font></p>";
echo "<p align='center'><font face='Verdana' size='2'>Verificare Username e/o Password</font></p>";
echo "<p align='center'><a href='../listenozze/seifuori.php'>";
echo "<font face='Verdana' size='2'>Torna al Login</font></a></p>";
echo "<p align='center'><font face='Verdana' size='2'>Se siete sicuri che username e password siano corretti contatteci all'indirizzo:</font></p>";
echo "<p align='center'><font face='Verdana' size='2'>listenozze@argenteriadabbene.com</font></p>";
echo "<p align='center'><font face='Verdana' size='2'>Attenzione tutti i tentativi di accesso sono loggati dal server</font></p>";
echo "</body></html>";
}
else
{
$perm = $riga['flag'];
$nfile = $riga['nomefile'];
if ($perm==966)
{
echo "<html><head></head><body>";
echo "<form name='go' action='../pannellocontrollo' method='post'>";
echo "<input type='hidden' name='permesso' value='ok'></form>";
echo "<script>document.go.submit();</script></body></html>";
}
else
{
$fcerc="../listenozze/$nfile";
$esiste = file_exists($fcerc);
if ( !$esiste)
{
echo "<html><head><title>File in compilazione</title></head><body bgcolor='#FFFFFF'>";
echo "<p align='center'><font face='Verdana' size='4'>File in compilazione</font></p>";
echo "<p align='center'><a href='../listenozze/seifuori.php'>";
echo "<font face='Verdana' size='2'>Esci</font></a></p>";
echo "</body></html>";
exit;
}
else
{
echo "<html><head></head><body>";
echo "<form name='go' action='../listenozze/$nfile' method='post'>";
echo "<input type='hidden' name='permesso' value='utente'>";
echo "<input type='hidden' name='cutente' value='$username'>";
echo "<input type='hidden' name='nomefile' value='$nfile'>";
echo "</form>";
echo "<script>document.go.submit();</script></body></html>";
}
}
}
?>
C'è solo un piccolo problemino, cosi'come è ora se non si inserisce nel campo e si preme invia mi porta direttamente dentro nel pannello di inserimento utenti come se avessi pieni diritti (flag 966)VVoVe:
La riga incriminata è questa che ho editato:
echo "<form name='go' action='../pannellocontrollo' method='post'>";
Forse perche'nell'altra pagina di login c'è uno javascript che controlla che non si possa inviare un campo vuoto ?
Lo strano è che pur entrando senza loggarmi mi da pieni diritti di cancellare etc etc
Rispondi quotando