авторизация, с самого начала

[Krasi]

Расскажите мне, как новичку, про авторизацию. Прочитал, что есть переменные:
$_SESSION['user'],
$_SESSION['password'],
которые должны хранить данные о пользователе, а как их использовать? Без всяких наворотов для защиты, я уже пробовал что-то повторить из выложеного в нете, но не получиось, и не разобрался.

[spein]

Конкретнее поставь вопрос)

[Krasi]

Нужно совсем с нуля написать авторизацию. Раньше пользовался готовыми скриптами и слабо осознавал, что происходит. Ну, например, начать с того, чтобы залогиниться (в бд уже создана учетная запись с паролем, ником и возможностью записи ip, ну то-есть для самого простого варианта), а потом при заходе пользователем на страницу он распознался, как пользователь (например, if login->hi cool fellow user). Ну с куками я принцип чуть-чуть понял, ну и по скриптам помню: set cokee & get cokee. А вот что за переменные на стороне сервера? Ну и как любым способом реализовать самую простую авторизацию и как потом методом серверной переменной распознавать, что пользователь зареген?

[ssdm]

Цитата:

Сообщение от Krasi

Расскажите мне, как новичку, про авторизацию. Прочитал, что есть переменные:
$_SESSION['user'],
$_SESSION['password'],
которые должны хранить данные о пользователе, а как их использовать? Без всяких наворотов для защиты, я уже пробовал что-то повторить из выложеного в нете, но не получиось, и не разобрался.

вводит юзер логин и пароль , если в базе такая комбинация есть, то аторизуешь его(если без наовротов то просто иницилизируещь переменную $_SESSION['user']), дальше во всех скриптах проверяешь эту переменную , если все ОК то один вариант работы скрипта ,если нет то другой вариант работы скрипта

[ssdm]

Цитата:

Сообщение от Krasi

Нужно совсем с нуля написать авторизацию. Раньше пользовался готовыми скриптами и слабо осознавал, что происходит. Ну, например, начать с того, чтобы залогиниться (в бд уже создана учетная запись с паролем, ником и возможностью записи ip, ну то-есть для самого простого варианта), а потом при заходе пользователем на страницу он распознался, как пользователь (например, if login->hi cool fellow user). Ну с куками я принцип чуть-чуть понял, ну и по скриптам помню: set cokee & get cokee. А вот что за переменные на стороне сервера? Ну и как любым способом реализовать самую простую авторизацию и как потом методом серверной переменной распознавать, что пользователь зареген?

в данном случае этими командами set cokee и get cokee пользоватся не надо..
в начале всех скриптов пишешь session_start() ,
таким образом переменные глобального массива $_SESSION видны из всех скриптов в рамках сессии юзера
вот прочитай статью http://phpfaq.ru/sessions
ещё тут почитай комментарии http://www.codenet.ru/webmast/php/PHP-Sessions.php

[Krasi]

Биг спасибо за session start! Только из-за его отсутствия не получалось. А я не понял, переменная записывается на сервере, а как потом получается, что эта переменная принадлежит именно тому юзеру, который ввел данные? А как в таком случае можно чужому человеку подстроить переменную под себя и взломать честного юзера? Ну и после этого идем дальше.

PHP код:

session_start();
    $user_login= $_POST['user_login'];
    $user_pass = $_POST['user_pass'];

if(md5(crypt($_SESSION['user'],$_SESSION['password'])) != $_SESSION['SID']){
  if(!$user_login && !$user_pass){$pines='Нет данных';}
}
   
   
  if($user_login && $user_pass){
      if ($user_login && $user_pass){
      $q1=mysql_query("SELECT * FROM sb_users WHERE user_login='$user_login' AND user_pass= '$user_pass' AND        

     user_status = '1'");
          if(mysql_num_rows($q1)===1) {
          $r=mysql_fetch_array($q1);
          $_SESSION['user'] = $r['user_login'];
          $_SESSION['password'] = $r['user_pass'];
          $_SESSION['SID'] = md5(crypt($r['user_login'],$r['user_pass']));
          }
      }
  }


if(md5(crypt($_SESSION['user'],$_SESSION['password'])) == $_SESSION['SID']){
$pines="Получилось";
}

echo($pines); 


Это у меня написано сейчас. Что еще пишется и с какими целями? Ну кроме упоминания об ошибках.
2. Еще хочу узнать это же про регистрацию. Сейчас знаю, что нужно:
написать ограничение на ввод символов;
поставить капчу;
написать активацию по e-mail (слабо понял, как?)
Ну забыл, что там еще, ведь там полтораскрипта еще против взлома, вроде, должно писаться.
3. Объясните мне про sql инъекцию. Ну я недопонял, что такого будет, если у меня на странице передаются данные post'ом, а пользователь переделает адрес. Вообще инъекция - это когда передают get'ом данные, или я чего-то не знаю насчет того, как можно передать информацию в скрипт?

[ssdm]

"А я не понял, переменная записывается на сервере, а как потом получается, что эта переменная принадлежит именно тому юзеру, который ввел данные?"
у юзера сохраняется id_сессии в куках, на сервере n-ое количество времени хранится сессия..

Цитата:

А как в таком случае можно чужому человеку подстроить переменную под себя и взломать честного юзера?

украсть id_сессию юзера

по пункту 2 и 3 - куча инфы в инете..

[Krasi]

PHP код:

if ($user_login && $user_pass && $user_email){
$error="Логин уже занят";
mysql_query("SELECT * FROM bla WHERE bla1 = '$user_login'");  
  if(mysql_affected_rows() == 0){
  $error = 'Ошибка: лишние символы';
    if(preg_match("/^[а-яa-zА-ЯA-Z0-9- _]+$/", $user_login) && preg_match("/^[а-яa-zА-ЯA-Z0-9- _]+$/", $user_pass)  

   && preg_match("/^[а-яa-zА-ЯA-Z0-9- _@.]+$/", $user_email)){

    $uniq_id = md5($_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'].mktime());
    
    $qu1=mysql_query("INSERT INTO `bla` (bla1, bla2, bla3, bla4, bla5) VALUES         
('$user_login', '$user_pass', '$user_email', '$uniq_id', '$_SERVER[REMOTE_ADDR]')");
      
      if($qu1){
      $headers  = "Content-type: text/html; charset=windows-1251 \r\n"; 
      $headers .= "From: %$site_name% <$site_mail>\r\n"; 
      $headers .= "Bcc: $sait_mail\r\n";

      $mailto = $user_email;
      $subject = "Подтверждение регистарции на сайте";
      $message = "Для активации аккаунта пройдите по следующей ссылке http://de_saito.ru/regusha.php?

activation=$uniq_id";
      $gogo = mail($mailto, $subject, $message, $headers);
        if($gogo) 
        {$error = "Осталось пройти проверку e-mail (вам пришло письмо на указанный адрес)";}
        else {$error = "Чудесная ошибка, попробуйте заново";}
      }
      else {$error = "Проблемка, упси";}
    }
  }
}

if($_GET['activpopo'] AND $_GET['activpopo'] != '') 
{$uniq_id = $_GET['activpopo'];
$r=mysql_query("UPDATE bla SET blaxz = '1' WHERE blaxz2 = '$uniq_id'  AND bla xz = '0'"); // тут, если есть в таблице не активированная запись с уником, не активированная запись активируется  
if($r)
{$error = "Вы зарегистрировались, можете войти, используя форму входа.";}
} 


1. Как в таком коде можно сделать подмену сессии? И какие вообще есть наиболее распространенные возможности подмены сессии?
2. Как при отправке почты вставляются переменные? я там показал, где надо, но я пробовал это все отправить в таком виде, отображается некорректно.
3. Чего явно не хватает в коде и как его оптимизировать?

[ssdm]

Цитата:

1. Как в таком коде можно сделать подмену сессии? И какие вообще есть наиболее распространенные возможности подмены сессии?

Вот тебе ссылка на тему на нашем форуме http://programmersforum.ru/showthread.php?t=90156.
Так как сам в этом вопросе не силен.

Цитата:

2. Как при отправке почты вставляются переменные? я там показал, где надо, но я пробовал это все отправить в таком виде, отображается некорректно.

то есть? не совсем понял вопрос.. Но попробуйте так
$headers .= "From:".$site_mail." <".$site_mail.">\r\n";
Зы. рекомендую использовать класс для отправки почты HTMLMIMEMAIL5

[Johnatan]

Чтобы оптимизировать этот код, его нужно переписать процентов так на 80. Одни только названия столбцов MySQL чего стоят. Идеал документирования! )
Ошибки, почему-то, присваиваются ещё ДО проверки. ))