Problema con login e cookie

Salvo Salvi

Utente Attivo
14 Nov 2012
230
0
0
ciao ragazzi ho un problema con questo login. se inserisco la password corretta si collega ma quando vado a ricaricare la pagina si scollega in automatico sapete dirmi il perchè?
PHP:
<?php
require_once('script/db_connect.php');
$pass = md5($_POST['pass']);
$user = htmlspecialchars($_POST['user']);



$query= "SELECT pass  FROM admin WHERE user='$user'";
$pass_query = mysql_query($query);
$dati_admin = mysql_fetch_assoc($pass_query);


echo $dati_admin['pass'] . " " . $pass;

if( $_COOKIE['pass'] != "" ) {
	
}
elseif($_POST['submit'] != "" && $_POST['pass'] != "" && $pass == $dati_admin['pass']) {
	
	setcookie("user", $user, 900000);
setcookie("pass", $pass, 900000);

} else { ?>
<div class="login">
 <form method="POST" action="">
 <input type="text" name="user" class="user"> <br>
 <input type="password" name="pass" class="pass"> <br>
 <input type="submit" name="submit" class="submit">
 </form>


</div>

<?php
exit();
}
?>
 
Ti consiglio di usare una sessione in cui salvi l'ID dell'utente invece dei cookie, altrimenti a ogni accesso devi controllare che la password dell'utente sia quella corretta (o basterebbe creare un cookie per essere automaticamente autenticati).

Inoltre la tua applicazione è esposta a SQL injection, che permettono a un malintenzionato di cancellare il tuo intero database. Usa PDO invece della libreria mysql, che è di fatto deprecata.

Ecco un esempio di come potresti farlo:
PHP:
<?php
session_start();

if ('POST' === $_SERVER['REQUEST_METHOD']) {
    $username = isset($_POST['username']) ? trim($_POST['username']) : '';
    $password = isset($_POST['password']) ? trim($_POST['password']) : '';

    if ('' === $username || '' === $password) {
        die('Devi inserire le tue credenziali.');
    }

    try {
        $pdo = new PDO('mysql:host=localhost;dbname=auth', 'root', 'password');
    } catch (PDOException $e) {
        die('Errore interno.');
    }

    $stm = $pdo->prepare('SELECT id FROM users WHERE username = ? AND password = SHA1(?)');

    try {
        $stm->execute(array($username, $password));
    } catch (PDOException $e) {
        die('Errore interno.');
    }

    if ($stm->rowCount() > 0) {
        $user = $stm->fetchAssoc();
        $_SESSION['user_id'] = $user['id'];

        header('Location: index.php');
    } else {
        die('Credenziali non valide.');
    }
} else {
    echo <<<EOF
<form method="post" action="{$_SERVER['REQUEST_URI']}">
    <div>
        <label for="username">Username:</label>
        <input type="text" id="username" name="username">
    </div>

    <div>
        <label for="password">Password:</label>
        <input type="password" id="password" name="password">
    </div>

    <button type="submit">Login</button>
</form>
EOF;
}
 
ho altre 3 domande.

La funzione try prova se funziona la connessione giusto?
Se voglio stampare a video dei valori estratti dal database con il PDO come devo fare?
E se invece li volessi introdurre dentro un ciclo while?

Ti ringrazio per l'aiuto che mi hai dato
 
try non è una funzione ma un costrutto per la gestione delle eccezioni. Il codice all'interno del costrutto viene eseguito. Se lancia qualche eccezione catturata da un blocco catch, il contenuto di quest'ultimo viene eseguito a sua volta.

Per recuperare i dati di una riga estratta dal database basta usare il metodo fetchAssoc() della classe PDOStatement. Se vuoi memorizzarli tutti in un array multidimensionale, usa fetchAll().
 
Però mi da questo errore sai dirmi il perche?

Fatal error: Call to undefined method PDOStatement::fetchAssoc() in /membri/laemmeallapi/stellazzurra/amministrazione/script/login.php on line 28
 
A quanto pare il metodo fetchAssoc() di PDOStatement non esiste. Devo essermi confuso con qualche libreria. Usa questa sintassi:
PHP:
$stm->fetch(PDO::FETCH_ASSOC);
Oppure puoi specificare l'attributo direttamente nella connessione:
PHP:
$pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
E in quel caso basterà chiamare fetch().
 

Discussioni simili