alert (javascript) in php

[tesyff]

salve.
Ho il seguente problema.
In una form inserisco una login e una password.
Qualora le due risultino "buone" rimando l'utente alla pagina di interesse.
In caso contrario (cioè in caso che una delle due: LOGIN E/O PSW) siano sbagliate vorrei comunicare un messaggio di errore e rimandare sulla pagina della form.
Faccio così:

//prelevo i dati dalle form
$login=$_POST['login'];
$psw=$_POST['psw'];

//eseguo la query
$query="select * from setting where login='$login' && psw='$psw'";
$rs=mysql_query($query) or die (mysql_error());

if($row = mysql_fetch_array($rs)){
$log=$row['login'];
$passw=$row['psw'];
$ruolo=$row['ruolo'];
$ut=$row['id'];
//$php=".php";

if($ruolo=="amministratore"){
echo "<SCRIPT type=\"text/javascript\"> \n";
echo "window.location.href='all_admin_generale.php' \n";
echo "</SCRIPT>";
}
........

//chiusura if esterno
}

else

{
//messaggio di errore con alert
echo "<SCRIPT type=\"text/javascript\"> \n";
echo "alert('Login e/o password errate. Ritenta')";
echo "window.location.href=index.php'\n";
echo "</SCRIPT>";

exit();

}



... Ovviamente non funziona.
Non so il perchè!
Sapete aiutarmi ... magari suggerendomi anche altre tecniche?
Grazie in anticipo

[Lucada]

Inanzitutto metti sempre nei tag "Code" così capiamo meglio...

Comunque puoi chiudere i tag php e farlo normalmente no?

codice:

<?
if($ruolo=="amministratore"){ 

  #Qui puoi usare l'header dato che non hai stampato a video ancora niente, al posto del Javascript.

  header("Location: all_admin_generale.php");


  ........ 


else 

  { 

?>

<SCRIPT type="text/javascript">
alert('Login e/o password errate. Ritenta')
window.location.href=index.php'
</SCRIPT>

<?

exit(); 

} 
?>

Al max... ricontrolla il codice Javascript se dovessi aver sbagliato qualcosa nel riscriverlo... cmq spero che tu abbia capito il metodo.

Ciao

[ilmila]

codice:

$login=$_POST['login'];
$psw=$_POST['psw'];

//eseguo la query
$query="select * from setting where login='$login' && psw='$psw'";
$rs=mysql_query($query) or die (mysql_error());

innanzitutto farei un controllo sul input utente, se un utente inserisce come user

codice:

' or 1=1 /*

la tua query diventa

codice:

$query="select * from setting where login='' or 1=1 /*' && psw='$psw'";

che è sempre vera !!ed un utente X riesce sempre ad entrare

Eviterei di usare componenti javascript..
Se un utente ha disabilitato javascript..non puo accedervi...

prova a vedere su http://freephp.html.it/
script autenticazione

[tesyff]

Io il javascript vorrei anche evitarlo.
Ma come posso fare?

[Lucada]

Per il redirect dell'amministratore lo eviti come ti ho detto io...

Per il secondo caso, non saprei... io ad esempio ho fatto in Javascript.