Area Riservata con login in DIV

[editing.vins]

Ciao a tutti,
sono nuovo del forum e premetto che la programmazione non è il mio forte...prediligo molto di più la grafica

Detto ciò mi ritrovo di fronte ad un piccolo problema; ho inserito in un sito un link per accedere ad una mini area riservata, il tutto (login, check e risultato) indirizzato e visualizzato in un DIV.

Il login è il classico form:
<html>
<head>
<title>Protezione pagina</title>
</head>

<body>


Protezione pagina "pag_protetta"</p>
<form method="post" action="javascript:ajaxpage('aream/pag_protetta.php', 'rightcolumn');">


Username: <input type="text" name="username" size="20"></p>


Password :
<input type="password" name="password" size="20"></p>


<input type="submit" value="Login">
<input type="reset" value="Annulla">
</form>
</body>
</html>

.....

successivamente rimanda alla pagina protetta ed è qui l'inghippo!!!!

Quando inserisco user e password corretti indirizzati alla visualizzazione in normale pagina web, tutto ok! mentre se indirizzo il risultato al DIV in questione mi da sempre e comunque "accesso non valido".
Sembra che bypassi il controllo delle password a prescindere con il DIV ma lo script è corretto, ecco:

<?
require 'login.php';
include 'config.php';
$username=$_POST['username'];
$password=$_POST['password'];
if ($username==$usern && $password==$passd) {
?>


dati da visualizzare</p>


<?
}
else {
echo "
[b]Accesso negato, effettua in modo corretto il <a href=\"javascript:ajaxpage('aream/login.php', 'rightcolumn')\">login</a>[b]";
}


Come faccio a risolvere l'anomalia??? HELP PLEASE

[Virus_101]

Che casotto.

in sequenza :

1- form(in post !) di login con submit a script di gestione login
2- script di gestione login con controllo dati in post
3- login ok avvio sessione dopo controllo dati
4- redirezione a pagine protette
5- login fail redirezione a pagina con il form di login

lo script per accedere

Codice PHP:


<?

$u = "admin" ;
$p = "entra" ; 
// I dati li puoi caricare da altra locazione se preferisci anche da db o da file o da dove ti pare

if( $_POST["login"]==$u && $_POST["pass"]==$p )
{
    session_start();
    $_SESSION["utenteLoggato"] = true ; 
// le var di sessione le setti come ti pare questo e' solo un esempio veloce
    header("loaction: ./area_protetta/pagina.php");
    die(); // SEMPRE METTERE DOPO UN REDIRECT ALTRIMENTI ESEGUE IL RESTANTE CODICE
}
else
{
    header("loaction: ./login.html?e=1");
    die();
}


?>

Una cosa importate e' controllare l'accesso nelle pagina protette quindi ti fai un file
controllaUtente.php che vai ad includere in ogni pagina protetta, questo faile e' una cosa del tipo

Codice PHP:



session_start();

if(!$_SESSION["utenteLoggato"])
{ header("location: ./login.html?e=2");die();  }

// Puoi anche fare controlli piu' specifici da db, controllare tokens o cookies per il keepalive
// keepalive della sessione o come ti pare meglio 


EDIT DIMENTICATO LO SCRIPT DI LOGOUT

puoi aggiungere anche un file esci.php che uccide la sessione etc .e quindi redirezionare li quando premi il tasto esci dalla sezione protetta.

il file e' una cosa del tipo

Codice PHP:


session_start();
session_destroy();

header("location: ./login.html") ; die(); 


[editing.vins]

Ti ringrazio per la celere risposta...e scusa per il casotto
una domanda però... come mai indirizzando al div nn mi accetta la sessione ed invece utilizzando lo script in una normale webpage non crea anomalie??

[Virus_101]

1 le sessioni usano cookies
2 per gestire i cookies devi per forza di cose ricaricaricare la pagine o usare ajax
3 reindirizzare a script ti da maggiore controllo sul codice ed evita che un tasto F5 faccia casini e invii troppe request

Inoltre il reinidirizzamento da te proposto non e' un vero e proprio reindirizzamento, e' una stampa di dati in base al loro stato in un determinato elemento della pagina html.

Puoi gestire tutta la cosa in loco senza redirects ma DEVI usare ajax e devi avere uno script per gestire i login alle spalle.

Io consiglio sempre di tenere separate le entita'. Php da una parte e html dall'altra.
Nelle pagine dinamiche quinidi prima generi l'html con php poi lo stampi

se devi debuggare pagina da 200 righe mescolate di php e html e js che fai ?
Ti spari nelle balle a me e' capitato di dover sistemare casotti del genere => ho rifatto da 0 ci ho messo meno quindi separa sempre.

Ad esempio (pagina web dinamica e generata con php) :

Codice PHP:

<?

// definizioini
// inclusioni 

// variabili o strutture dati

// interrogazioni db o cointrolli

// popola la variabili 

// controlla e converti dove necessario

// genera html
$titolo = "TITOLO PAGINA" ;
$metatag = generaMetatag();
$menu = generaMenu() ;
$contenutoPagina = generaContenutoPagina( $dati , $opzioni ) ;

?>
<html>
<head>
<?=$titolo?>
<?=$metatag?>

</head>

<body>

<?=$menu?>
<hr />
<?=$contenutoPagina?>

</body></html>

Come vedi la pagina ha una pulizia perfetta, e se devi modificare metti mano alle funzioni (che puoi riutilizzare ovunque ti servano) e non impasti tutto.

[editing.vins]

ok grazie 1000! sei stato davvero prezioso...have a nice day!

[ClaudioMalorgio]

Con un login cosi pure un bambino di 5 anni riesce ad entrare

[editing.vins]

I know...ma credimi per quello che mi serve la sicurezza è l'ultima cosa! Di certo nn sto progettando un internet banking!

[Virus_101]

?? @caludio ?
e come le gestisci te le sessioni ?

e' solo 1 codice da esempio su quello si puo' impostare tutta la sicurezza che vuoi andando anche a tracciare le sessioni su una tua tabella in db.

Adesso devi dare una motivazione sensata alla tua affermazione. Sono davvero curioso.


EDIT :
Non ricordo e sono di fretta per rileggere tutto, s enon l'ho gia' detto prima tutte le pagine in area protetta devono avere il controllo sessione.

....

[Virus_101]

non vedo ancora alcuna risposta....

Io invito qualsiasi persona passi di qua e legga questo post a motivare sempre e sensatamente le affermazioni che posta.

Altrimenti non dite nulla e state zitti. Se fate affermazioni come "ClaudioMalorgio" che dice "Con un login cosi pure un bambino di 5 anni riesce ad entrare" e non dite perche' piuttosto state zitti.

Un login fatto cosi' un suo livello di sicurezza adeguato alle necessita' del richiedente.
Inoltre questa e' la base per gestire ogni dannata sessione. Il session hijacking e' quasi impossibile in questa situazione . Un brute force sulle pwd si risolve mettendo una sleep(3) sul metodo di login e una sleep(1) sul controllo accesso.

Ulteriroi improvement di sicurezza si possono fare ma dipende da quanto tempo e che lvl di sicurezza si vuole ottenere . Dire che un bambino di 5 anni entra e' davvero ridicolo, come fa molto pensare il fatto che non viene data una spiegazione logia e sensata a tale affermazione. Per cui Claudio per favore o dai un motivo o STA ZITTO!

EDIT : claudio sono passato a vedere il tuo sito e in tempo di fare un click cosa leggo ? :

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'XXXXXXX'@'XXXXXXXXXX' (using password: YES) in /web/htdocs/www.9092.it/home/classi/inc.config.php on line 39

Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /web/htdocs/www.9092.it/home/classi/inc.config.php on line 40


HO oscurato login e ip del server perche' e'' giusto che sia cosi'.... MA VERGOGNATI !!!
Non controlli nemmeno se il db e' raggiungbile o e' su !!! E Lasci i warnings ed errori in bella vista cosi' ora tutti possono vedere il tuo login e l'ip del database .... E MI PARLI TE DI SICUREZZA !!! Fossi in te cambierei lavoro ... pallone gonfiato!!!


MUAHAHAHAHAHAHAHA Ongli link che clicco :
Access denied for user 'XXXXXXXXXX'@'XXXXXXXXXX' (using password: YES)

GIa w l'it, la sicurezza etc etc etc etc....
Il blog e' vuoto e quindi inutile.....
Ora se posti solo per aumentare l'indicizzazione del tuo sito ecco perche' posti e mo chiamo il mod.

[daniele_dll]

Originariamente inviato da ClaudioMalorgio
Con un login cosi pure un bambino di 5 anni riesce ad entrare

Ciao,

queste risposte sono inutili e causano esclusivamente flame, gentilmente quando fai affermazioni del genere il minimo è supportarle tecnicamente altrimenti tienile per te.

@Virus_101

calma, o ti scoppia un'arteria per la pressione

EDIT:

facciamo finta che ho scritto "o" e non "ho"