Защита админки

[Alexander1311]

Здравствуйте, есть 4 файла
index.php-в нем форма для ввода логина и пароля;
login.php-

PHP код:

session_start();

$username = $_POST["username"];
$password = $_POST["password"];

if($password&&$username){
include("../blocks/bd.php"); 

$query = mysql_query("SELECT * FROM userlist WHERE username='$username' ");
$numrows = mysql_num_rows($query);

if($numrows !== 0){
    while($row = mysql_fetch_assoc($query)){
    $dbusername = $row['username'];
    $dbpassword = $row['password'];
    }
    if($username == $dbusername&&$password == $dbpassword){
    echo "Вы вошли! <a href='member.php'>кликните</a> что бы перейти на страницу.";
    $_SESSION['username'] = $dbusername;
    
    }
    else{
    echo"неверный пароль!";
    }
}
else{
die ("пользователь с таким именем не найден!");
}
echo ($numrows); 
}
else{
die("Введите имя и пароль!");
} 


member.php-

PHP код:

session_start();

if($_SESSION['username'])
    echo"Здравствуйте, ".$_SESSION['username']."<br><a href='logout.php'>Выйти</a>";

else
echo"Вы должны войти в систему!"; 


logout.php-

PHP код:

session_start();

session_destroy();

echo"Вы вышли из системы. <a href='index.php'>Войти</a>"; 


Подскажите, как с их помощью защитить например 10 файлов, которые находятся в папке admin?
Заранее всем благодарен!

[Andkorol]

В начале каждого из этих 10 файлов нужно просто проверять наличие значения в переменной $_SESSION['username'].
Если значения нет – отправляем юзера на страницу авторизации:

PHP код:

if(empty($_SESSION['username'])){
    // перенаправление
    header('Location: login.php');
} 


В этом запросе возможна SQL-injection:

PHP код:

$query = mysql_query("SELECT * FROM userlist WHERE username='$username' "); 


[Alexander1311]

За ответ спасибо)))

Цитата:

В этом запросе возможна SQL-injection

А как правильно защитить?

[Andkorol]

Цитата:

Сообщение от Alexander1311

А как правильно защитить?

PHP код:

$query = mysql_query("SELECT * FROM `userlist` 
         WHERE `username` = '" . mysql_real_escape_string($username) . "' "); 


Защита от SQL-инъекций

[Alexander1311]

Andkorol,
Спасибо!

[Alexander1311]

Еще такой вопрос, все сделал как вы сказали, вроде работает) но не выходит, если нажать "выйти" переходит на страничку logout.php, все правильно. Но если попробовать снова войти то заходит и не просит вводить данные. Значит файл logout.php не удаляет данные. Как можно исправить?

[Andkorol]

Добавить в logout.php:

PHP код:

$_SESSION['username'] = ''; 


[Alexander1311]

После нажатия на "выход", даже приходится наново авторизоваться на сайте, а вот доступ в админку все равно открыт(
Правда, код из файла member.php я добавил в каждый файл админки, а сам файл удалил.

[Andkorol]

Цитата:

Сообщение от Alexander1311

После нажатия на "выход", даже приходится наново авторизоваться на сайте, а вот доступ в админку все равно открыт(

Противоречиво.
Что значит "доступ в админку все равно открыт"?
Авторизация на сайте не должна пропускать юзеров с сайта в Админку – у Админа должен быть отдельный вход, отдельная от юзеров проверка доступа.
Организована она может быть по такому же принципу – но эта проверка должна быть реализована только под Админа.