System logowania i biała plama

pytanie zadane 19 kwietnia 2018 w PHP przez daro793704 Początkujący (350 p.)

Witam.

Mam do Was pytanie. Zrobiłem w php system logowania. Jest on odporny na wstrzykiwania SQL i jeśli poda się hasło inne niż w bazie dla danego konta to wyskakuje wiadomo Niepoprawny login lub hasło. Ale jeśli już wprowadze login i hasło, których wogóle nie ma w bazie to przechodzi na kieruje się na strone gdzie toczy się proces logowania poprzez action="zaloguj.php" ale strona jest pusta(czyli nic na niej nie ma. Czy tak na localhoscie jest że przy niepoprawnym loginie i hasło przenosi na stronę gdzie jest action? Jeśli bym przeniósł na już normalny hosting to nie będzie miało miejsce to co napisałem wyżej. Proszę o odpowiedź

2 odpowiedzi

odpowiedź 19 kwietnia 2018 przez Marchiew Dyskutant (7,690 p.)

Pewnie dałeś złe warunki. Przeanalizuj wszystkie możliwości jakie są możliwe i przy kazdym zobacz co się dzieje.

+ możesz kod pokazać, żeby łatwiej było pomóc.

komentarz 19 kwietnia 2018 przez daro793704 Początkujący (350 p.)
edycja 19 kwietnia 2018 przez Patrycjerz

kod do action metody post

<?php

    session_start();
    
    if(($_POST['login_w']==false) || ($_POST['haslow']==false))
    {
        header('Location: wprowadzenie.php');
        exit();
    }
    
//    if((isset($_SESSION['zalogowany'])) && ($_SESSION['zalogowany']==false))
//    {
    //    $_SESSION['blad_logowania']="Niepoprawny login lub hasło";
    //    header('Location: wprowadzenie.php');
    //    exit();
//    }
    
    if((!isset($_POST['login_w'])) || (!isset($_POST['haslow'])))
    {
        header('Location: wprowadzenie.php');
        exit();
    }
    
    require_once "polaczenie_z_baza.php";
    mysqli_report(MYSQLI_REPORT_STRICT);
    
    try
    {
        $wprowadzenie = new mysqli($host,$user,$password,$baza);
        if($wprowadzenie->connect_errno!=0)
        {
            throw new Exception(mysqli_connect_errno());
        }
        else
        {
            $login_w = $_POST['login_w'];
            $haslow = $_POST['haslow'];
            
            if($rezultat_zap = $wprowadzenie->query(
            sprintf("SELECT * FROM uzytkownicy WHERE login='%s'",
            mysqli_real_escape_string($wprowadzenie,$login_w))))
            {
                
                $ile_takich_userow_w_bazie = $rezultat_zap->num_rows;
                
                if($ile_takich_userow_w_bazie>0)
                {
                    $wiersz = $rezultat_zap->fetch_assoc();
                    
                    if(password_verify($haslow,$wiersz['haslo']))
                    {
                        $_SESSION['zalogowany']=true;
                        $_SESSION['id'] = $wiersz['id'];
                        $_SESSION['login'] = $wiersz['login'];
                        $_SESSION['email'] = $wiersz['email'];
                        $_SESSION['datarejestracji'] = $wiersz['datarejestracji'];
                        $_SESSION['ilosc_komentarzy'] = $wiersz['ilosc_komentarzy'];
                        
                        $rezultat_zap->free_result();
                        header('Location: wprowadzenie_zal.php');
                    }    
                    else
                    {
                        $_SESSION['blad_logowania'] = "Niepoprawny login lub hasło";
                        header('Location: wprowadzenie.php');
                    }
                    
                }
            }
            else
            {
                $_SESSION['blad_logowania'] = "Niepoprawny login lub hasło";
                header('Location: wprowadzenie.php');
            }
        
        $wprowadzenie->close();
        }
    
        }
    
    catch(Exception $wpr)
    {
        echo $wpr;
    }
?>

kod php wraz ze strona i inputami bardziej sprawdzenie użytkownika w bazie

<?php

session_start();

if((!isset($_SESSION['zalogowany'])) && ($_SESSION['zalogowany']== false))
    {
        header('Location: wprowadzenie.php');
        exit();
    }

?>

<?php
            require_once "polaczenie_z_baza.php";
            mysqli_report(MYSQLI_REPORT_STRICT);
            
            try
            {
                $wyswietl_komentarze = new mysqli($host,$user,$password,$baza);
                if($wyswietl_komentarze->connect_errno!=0)
                {
                    throw new Exception(mysqli_connect_errno());
                }
                else
                {
                    
                    if($result = mysqli_query($wyswietl_komentarze,"SELECT * FROM komentowanie ORDER BY datakomentarzaw DESC"))
                    {
                    
                    ?>
                
                <div class="wyswietlone_komentarze"><b>Komentarze:</b> <br /><br />
                </div>
                <?php
                
                while($row = mysqli_fetch_row($result))
                {
    
                    echo'<span style="margin-left: 150px; margin-bottom: 20px">'.'<b>'.'Użytkownik:'.'</b>'.'</span>'.'<br />'.'<span style="margin-left: 150px">'.$row[1].'</span>'."<br />";
                    echo'<span style="margin-left: 150px; margin-bottom: 20px">'.$row[2].'</span>'."<br />";
                    echo'<span style="margin-left: 150px; margin-bottom: 20px">'.$row[3].'<br />'.'</span>'."<br />";
                        
                }
                ?>
                    
                    <?php
                    }
                        else
                        {
                            throw new Exception($wyswietl_komentarze->error);
                        }
                    }
                    $wyswietl_komentarze->close();
                }    
            
            catch(Exception $serwer)
            {
                echo $serwer;
            }
?>

komentarz 22 kwietnia 2018 przez Marchiew Dyskutant (7,690 p.)

Jaki plik jest na końcu url, wprowadzenie.php czy inny?
Wygląda rzeczywiście jakby w warunkach był problem bo dziwnie one wyglądają.

Dla czytelności możesz się pozbyć nawiasów w ifach i zamiast if(()()) wystarczy if().