[PHP + MySql] Sito con login e sessioni

[elricmarci]

Salve ragazzi stavo costruendo un sito,ma mi son bloccato in alcuni punti.
Registrando un nuovo utente al sito non ci sono problemi,visto che i dati inseriti nei form, vengono correttamente inviati al DB.

Il problema è il Login dell'utente,non riesco a gestire il login tramite sessioni.
Mi potete gentilmente dare una mano??

Ecco il codice per il login:

<HTML>
<HEAD>
<TITLE>Login</TITLE>
</HEAD>
<BODY>
<center>
<br>   
          
    <td><a href="http://forum.mrwebmaster.it/index.php"><img src="http://forum.mrwebmaster.it/img/home.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/reg.php"><img src="http://forum.mrwebmaster.it/img/registrati.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/main_login.php"><img src="http://forum.mrwebmaster.it/img/login.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/modwii.php"><img src="http://forum.mrwebmaster.it/img/modwii.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/router.php"><img src="http://forum.mrwebmaster.it/img/router.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/shop.php"><img src="http://forum.mrwebmaster.it/img/shop.png"></a></td>

<hr>
<br>
<table border="0" cellspacing="1" cellpadding="0" width="300" align="center" bgcolor="#cccccc"><tbody>
<tr><form action="checklogin.php" method="post"> <input name="phpMyAdmin" type="hidden" value="V0N0db6Fl62QWr6eBkly75xAGn3" /><td>
<table border="0" cellspacing="1" cellpadding="3" width="100%" bgcolor="#ffffff"><tbody>
<tr>
<td colspan="3"><strong>Login</strong></td>
</tr>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input id="myusername" name="myusername" type="text" /></td>
</tr>
<tr>
<td>Password</td>
<td>:</td>
<td><input id="mypassword" name="mypassword" type="password" /></td>
</tr>
<tr>
<td></td>
<td></td>
<td><input name="Submit" type="submit" value="Login" /></td>
</tr>
</tbody></table>
</td>
</form></tr>
</tbody></table> 
</center>
</BODY>
</HTML>

Questo è il controllo per il login:

<?php
session_start();
$_SESSION['myusername']=$_POST['myusername'];
$_SESSION['mypassword']=$_POST['mypassword'];

$host="localhost"; // Hostname
$username="root"; // Mysql username
$password=""; // Mysql password
$tbl_name="utenti"; // Nome della Tabella
$db_name="login"; //Nome del Database
// Procedimento per connettersi al Database
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");
// Nome utente e password inviate attraverso il form
$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];
$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);
// Mysql_num_row is counting table row
$count=mysql_num_rows($result);
// If result matched $myusername and $mypassword, table row must be 1 row
if($count==1){
header("location:..//cod/login_success.php");
}
else {
echo "Attenzione username o password errati";
}
?>

Mentre questo è lo script che dovrei mettere per far in modo che la pagina venga visualizzata solamente dall'utente che ha eseguito l'accesso:

<HTML>
<HEAD>
<TITLE>Login</TITLE>
</HEAD>
<BODY>
<center>
<br>   
          
    <td><a href="http://forum.mrwebmaster.it/index.php"><img src="http://forum.mrwebmaster.it/img/home.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/reg.php"><img src="http://forum.mrwebmaster.it/img/registrati.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/main_login.php"><img src="http://forum.mrwebmaster.it/img/login.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/modwii.php"><img src="http://forum.mrwebmaster.it/img/modwii.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/router.php"><img src="http://forum.mrwebmaster.it/img/router.png"></a></td>
    <td><a href="http://forum.mrwebmaster.it/cod/shop.php"><img src="http://forum.mrwebmaster.it/img/shop.png"></a></td>
<hr>
<br>

<?
session_start();
if($_SESSION['myusername'] = 'myusername'){
echo('Login successful');
}
?>

</center>
</BODY>
</HTML>

Grazie Mille Marco

 

[borgo italia]

ciao
puoi fare così

<?php
//.......
// If result matched $myusername and $mypassword, table row must be 1 row
if($count==1){
	$_SESSION['user']=$myusername;//passi l'username in sessione
	header("location:..//cod/login_success.php");
}
else {
	echo "Attenzione username o password errati";//qui metterei l'header location alla (es.) index
}
?>

poi (tra l'altro come l'hai scritta, a meno che non manchi qualcosa, non mi sembra che così potrebbe funzionare)

<?php
session_start();
if(!isset($_SESSION['user'])){//verifichi cche la sessione esista
	//non esiste
	$_SESSION=array();//eventualmete distruggi tutte le sessioni
	header("location:alla_pag_che_vuoi.php");//fai uscire
}else{
	//la sessione esite quindi fai vedere quello che vuoi
?>
<HTML>
<HEAD>
<TITLE>Login</TITLE>
</HEAD>
<BODY>
<!-- eccetera -->
<?php
}
?>

p.s.
poi per le pag php non usare il tag di formattazione code, ma quello suo PHP, ultima iconcina

p.s.
benvenuto nel forum

 

[elricmarci]

Adesso non mi resta che prendere questo script:

<?php
session_start();
if(!isset($_SESSION['user'])){
    $_SESSION=array();
    header("location:/index/index.php");//fai uscire
}
?>
<HTML>
<HEAD>
<TITLE>Login</TITLE>
</HEAD>
<BODY>
?>

E inserirlo in ogni pagina che voglio far vedere solamente agli utenti loggati?

Grazie Mille Marco

 

[borgo italia]

ciao
si in tutte quelle che vuoi (private si intende) la sessione vive sino a che non chiudi il sito

 

[elricmarci]

Quindi in pratica facendo una cosa del genere dovrebbe andare??

<html>
    <head>
            <title>Config Router</title>
    </head>
<body>
<center>
<br>             
    <td><a href="../index.php"><img src="../img/home.png"></a></td>
    <td><a href="../cod/reg.php"><img src="../img/registrati.png"></a></td>
    <td><a href="../cod/main_login.php"><img src="../img/login.png"></a></td>
    <td><a href="../cod/modwii.php"><img src="../img/modwii.png"></a></td>
    <td><a href="../cod/router.php"><img src="../img/router.png"></a></td>
    <td><a href="../cod/shop.php"><img src="../img/shop.png"></a></td>
<hr>
<br>

<?php
session_start();
if(!isset($_SESSION['user'])){
    $_SESSION=array();

}
?>
</center>
</body>
</html>

 

[borgo italia]

ciao
no
per svariati motivi
1. session_start() deve essere alla prima riga, prima di qualsiasi output html, salvo modificare con le apposite istruzioni il flusso
2. ammesso (ma non concesso) che non ti dia l'errore di cui sopra la parte html, essendo fuori dall'if/else viene comunque vista
3. sempre ammesso... distruggi la sessione e poi? cosa fai rimani nella pagina?
l'uso della verifica della sessione serve proprio per verificare che l'utente si sia giustamente loggato, altrimenti un pinco pallo qualsiasi può entrare e vedere le pagine riservate.

poi precedentemente dimenticavo
quando leggi i post delluser e pass come minimo devi proteggerli con addslashes($_POST['pinco']) visto che accedi al db
poi la password è sempre meglio codificarla almeno con sha1

 

[elricmarci]

Borgo prima di tutto ti ringrazione per l'aiuto che mi stai dando.

"sempre ammesso... distruggi la sessione e poi? cosa fai rimani nella pagina?"

Volevo proprio sapere come far a rimaner collegato fino a quando non gli dò il logout distruggendo la sessione.

 

[borgo italia]

ciao
cosa intendi con

Volevo proprio sapere come far a rimaner collegato fino a quando non gli dò il logout distruggendo la sessione.

il principio è questo:
hai una serie (o una) di pagine pubbliche accessibili a tutti, quindi navigabili indipendentemente dall'esistenza o meno della sessione
e una serie (o una) di pagine riservate accessibili solo se la sessione esiste
per accedere alla pagine riservate devi loggarti, quindi devi avere user e pass
per loggarti devi avere una pag di log (chiamiamola log.php, che fantasia) in cui c'è un form in cui devi inserire te o l'utente user e pass
log.php verifica nel db che user e pass esistano e che siano congrue

caso SI
si crea la sessione e puoi accedere e navigare tra le riservate o se vuoi tornare alle pubbliche
caso NO
la sessione NON si crea e vieni rinviato ad una delle pagine pubbliche a tuo piacere continuando comunque a navigare tra le pubbliche, può essere (es.) rinviato alla index o alla pag in cui può iscriversi

se nelle riservate non si mette la verifica della sessione e il riendirizzamento non esiste, un pinco pallo qualsiasi può accedere alle pag riservate semplicemente digitando
http: // www. tuo_sito . it/riservata_due.php
o riservata_uno... e poi navigare tra le riservate facendo quello che vuole

 

[elricmarci]

Come funziona una sessione e cosa fà lo sò...Il problema è tradurlo in php e fare in modo che funzioni sul mio sito.