Sistema login "multipagina"

**NexusMen** · 29-06-2013, 10:32

Salve,
ho costruito un sistema di login collegato al db(ovviamente) che riporta ad una pagina riservato.php , ma il problema è che a me non basta riservato.php , ma dopo il sistema di login ci sono diverse pagina php che devono essere protette dal sistema di login!
In riservato.php c'è questo controllo che evita "eventuali intrusioni, se non passi prima per il login"

Codice PHP:


<?php

session_start();

if($_SESSION['nome_utente'] != "" && $_SESSION['id_utente']!= ""){

    echo "Benvenuto " . $_SESSION['nome_utente'] . " con id ". $_SESSION['id_utente'];

    echo "[url='logout.php']Esci[/url]";

}else

 effettuato correttamente login.

    echo  "non sei loggato";

?>

per farlo funzionare anche nelle altre pagine basta inserire solo questa parte di codice?

**Alhazred** · 29-06-2013, 11:01

Si.

Ad ogni modo, per domande di questo tipo è meglio provare invece di chiedere ed attendere che qualcuno ti risponda. Avresti risparmiato tempo (anche se solo mezz'ora in questo caso).

**NexusMen** · 29-06-2013, 11:54

Originariamente inviato da Alhazred
Si.

Ad ogni modo, per domande di questo tipo è meglio provare invece di chiedere ed attendere che qualcuno ti risponda. Avresti risparmiato tempo (anche se solo mezz'ora in questo caso).

si infatti, x'D! Alla fine tentar non nuoce mai :P
Maa comunque già che ci sono posso farti una domanda? Siccome già una volta tramite form mi hanno "hackerato" un sito, volevo sapere con il login come potevo difendermi da eventuali attacchi?Ed anche dai bot? (per i bot penso basti bloccare il login dopo 3 non riusciti, oppure inserire un codice captcha)

**Alhazred** · 29-06-2013, 12:06

Cerca "sql injection" su Google, troverai molte informazioni a riguardo.

Intanto, se già non lo fai, impara ad usare la funzione mysql_real_escape_string() per tutti i dati che provengono da form e che usi per query sul database.
Inoltre, i dati che arrivano da form, verifica che siano nel formato corretto, ad esempio, se deve arrivare un numero, assicurati che ti stia arrivando un numero, se ti aspetti un codice postale, assicurati che la stringa sia di 5 caratteri e via dicendo.
E' già un ottimo inizio.

**NexusMen** · 29-06-2013, 12:39

Originariamente inviato da Alhazred
Cerca "sql injection" su Google, troverai molte informazioni a riguardo.

Intanto, se già non lo fai, impara ad usare la funzione mysql_real_escape_string() per tutti i dati che provengono da form e che usi per query sul database.
Inoltre, i dati che arrivano da form, verifica che siano nel formato corretto, ad esempio, se deve arrivare un numero, assicurati che ti stia arrivando un numero, se ti aspetti un codice postale, assicurati che la stringa sia di 5 caratteri e via dicendo.
E' già un ottimo inizio.

Diciamo che questo già lo faccio quando ho costruito altri form che impongo io il numero dei caratteri e verifico anche le e-mail inserite etc. ma purtroppo quella volta ho ricevuto un "attacco hacker senza problemi" poichè avevo creato una pagina per la mia fidanzata sul mio sito dove tenevo anche altra roba e lì avevo inserito un modulo ed una "Passowrd", ma aveva controlli zero e non passava minimamente per un db!E da lì mi sa che son arrivati a modificare il mio file .htaccess e puf!!
Comunque grazie per la dritta per il db me lo studierò!

**Alhazred** · 29-06-2013, 12:55

Mi raccomando, i controlli falli sia lato Javascript che PHP, il primo per velocizzare l'esperienza degli utenti dandogli immediato riscontro di problemi come campi richiesti non compilati, formato dati inseriti sbagliati ecc...
Questo però non ti salva dagli attacchi perché uno che vuole attaccarti il Javascript lo disabilita e quei controlli non vengono effettuati, gli stessi controlli li dovrai quindi fare in PHP.

**NexusMen** · 29-06-2013, 15:15

Originariamente inviato da Alhazred
Mi raccomando, i controlli falli sia lato Javascript che PHP, il primo per velocizzare l'esperienza degli utenti dandogli immediato riscontro di problemi come campi richiesti non compilati, formato dati inseriti sbagliati ecc...
Questo però non ti salva dagli attacchi perché uno che vuole attaccarti il Javascript lo disabilita e quei controlli non vengono effettuati, gli stessi controlli li dovrai quindi fare in PHP.

Recepito il messaggio...grazie!!

**NexusMen** · 30-06-2013, 11:22

Originariamente inviato da Alhazred
Si.

Ad ogni modo, per domande di questo tipo è meglio provare invece di chiedere ed attendere che qualcuno ti risponda. Avresti risparmiato tempo (anche se solo mezz'ora in questo caso).

Purtroppo non funziona...se uso questo metodo l'invio di un modulo non funziona...(e tra l'altro non mi legge manco più i fogli di stile O.o)
Dove sbaglio?

**NexusMen** · 30-06-2013, 11:25

...Ed anche se arrivo a quella pagina mediante il sistema di login(ed al suo interno non metto quel codice, è protetto lo stesso!)..ma il form non me lo invia!! C'è il jquery che mi dice Error Page

**NexusMen** · 30-06-2013, 11:36

Capito il problema...è il seguente:
Una volta effettuato il login tutto funziona ed è protetto....ma come aggiorno mi richiede di effettuare il login, quindi in pratica non mi conserva il login come dovrei fare?

Discussione: Sistema login "multipagina"

Strumenti discussione

Ricerca discussione

Visualizza

Sistema login "multipagina"

Permessi di invio