Я пытаюсь создать форму входа. Это мой код HTML-формы
Лично я получил за PDO.
Очки 4 и 5
$password = mysql_real_escape_string(stripslashes(md5($_POST["password"])));
Во-первых, порядок этого неверен. Вы хешируете $_POST["password"] а затем пытаетесь использовать stripslashes – после его хэши не будет никаких слэшей. Однако, если вы пытаетесь запретить людям использовать косые черты (или что-то еще) в паролях, вам необходимо удалить их перед тем, как хэшировать строку.
Следующий md5 не должен использоваться в качестве алгоритма хэширования паролей, который был признан слабым и может быть грубым принудительным для создания столкновений строк гораздо чаще, чем нужно.
Да, вы должны хранить хэши или «отпечатки пальцев» паролей, а не сами пароли, но в идеале вы хотите солить и хэш (с хотя бы sha1) этими паролями, а не просто бросать их в функцию md5() .
И выполните поиск по «хэш-настройке пароля», используя вашу поисковую систему по выбору.
Пункт 6
SELECT id FROM $table WHERE username = "" . $username . "" and password = "" . $password . "";
Я добавил в = который отсутствовал в исходном вопросе, но все же не совпал с именем пользователя и паролем в вашем запросе … если кому-то удалось получить SQL-инъекцию в ваше имя пользователя, пароль никогда не будет проверен. Представить:
SELECT user.id FROM user WHERE user.username = "fred" OR 1 = 1 -- AND user.password = "abc123"
Лучше выбрать идентификатор пользователя и пароль отпечатка пальца из базы данных, а затем оценить пароль в приложении, а не доверять проверке пароля на уровне базы данных. Это также означает, что вы можете использовать специальный алгоритм хэширования и соления в самом приложении для проверки ваших паролей.
Пункт 7
$_SESSION["user"] = $_POST["username"];
Это просто сохранение имени пользователя в сеансе? Это никоим образом не должно использоваться как «верификатор входа», особенно если на вашем сеансе нет (по-видимому) ничего, чтобы предотвратить угон.
Идентификатор сеанса можно легко обнюхать из файла cookie в режиме реального времени, и это все, что потребуется для «заимствования» чужого имени пользователя. Вы должны хотя бы попытаться уменьшить вероятность захвата сеанса, связав IP-адрес пользователя, строку UserAgent или некоторую другую комбинацию относительно статических данных, которые можно сравнить с каждой страницей … есть недостатки практически любого подхода, хотя (особенно, как я уже нашел, если у вас есть посетители, использующие AOL), но вы можете сделать возможный 99% -ный эффективный сеанс отпечатка пальца, чтобы уменьшить захват с очень небольшим шансом, что сеанс пользователя будет ошибочно сброшен.
В идеале вы также можете создать токен для сеанса для смягчения атак CSRF, когда пользователю необходимо выполнить «привилегированное» действие в базе данных (обновить их данные или что-то еще). Маркер может быть абсолютно случайным и уникальным кодом, хранящимся в базе данных и / или в файле cookie SSL, когда пользователь входит в систему (при условии, что пользователь не может выполнять никаких действий, которые обновляют базу данных за пределами HTTPS, поскольку это просто передаст данные в ясном тексте через Интернет – что было бы плохой идеей ).
Маркер помещается в скрытое поле формы для любых / всех форм и проверяется на значение, хранящееся в файле cookie (или сеансе или базе данных), когда эта форма отправляется. Это гарантирует, что человек, отправляющий форму, будет иметь живую сессию на вашем веб-сайте, по крайней мере.
Это может быть несколько проблем.
Во-первых, в вашем заявлении $ match у вас отсутствует оператор равенства по паролю:
$match = "SELECT id FROM $table WHERE username = "".$username."" and password"".$password."";";
Должно быть:
$match = "SELECT id FROM $table WHERE username = "".$username."" and password = "".$password."";";
Во-вторых , вы вставляете пароль в базу данных после его использования с помощью md5?
Если нет, то ваш запрос пытается сопоставить md5 (пароль) с паролем.
Php начинающим
На этой страничке попробуем объяснить логику построения динамического сайта. Php - исполняемый сервером скрипт. Что это означает? На сервере установлен специальный интерпретатор, который понимает те или иные языковые конструкции. Сам php файл, он считывает построчно, как бы бежит по нему сверху вниз. Если находит, например слово exit , то останавливается и дальше ничего не считывает, а исполняет, то что нашел до этого слова, например print "Здорово!" Напечатает Здорово!
|
print
"Здорово!"; exit ; ?> |
Это самый простейший php файл, но на самом деле, на практике приходиться иметь дело со сложным php файлом. Страничек на сайте много, у нас на данный момент 24 тысячи, нам бы пришлось написать столько же php файлов, или, просто html файлов. Но, php позволяет сделать все это дело в одном исполняемом файле. То есть, надо организовать в самом этом файле ссылки типа, если это - делаем то, если то - делаем это. Php позволяет очень хорошо организовать ссылки. Общая схема такова:
Вы видите в скрипте, что появились отсеки типа
если (то-то){
то делаем это
}
Тогда, что получилось, если первое условие исполнилось, то есть $uslovie
1
== "yes",
то исполняем скрипт в скобках {
}
, которые относятся к данному отсеку скрипта, далее
в этом отсеке стоит
exit
- здесь программа заканчивается. То
есть, с помощью отсеков мы можем разбить php
файл на составные части. А, что же такое
условие - if($uslovie
== "yes")
??? Это и сеть та
самая ссылка, в данном случае, что - то
исполнится, если переменная $uslovie
будет
равна yes
.
Назовем файл all.php . Чтобы организовать в командной строке ссылки на него, просто добавляем all.php?uslovie=yes . Если вы видите знак вопроса в командной строке, то это и есть ссылка в данном случае, $uslovie == "yes" . Тогда создадим html файл, в котором пропишем ссылки на наш исполняемый скрипт.
uslovie1 =yes" >Первая ссылка
uslovie2 =yes" >Вторая ссылка
Вы видите две ссылки. Если вы кликните на ссылках, то исполняться будет файл all.php , и в первом случае скрипту будет передано, что переменная $uslovie 1 ==yes , а во втором случае, $uslovie 2 ==yes . По первой ссылке исполнится первый отсек и программа остановится, по второй ссылке программа пробежит первый отсек и исполнится что - то из второго отсека (смотри выше). Обратите внимание, что в ссылках знак доллара не пишется, программа делает их переменными при передаче скрипту, то есть при передаче в командную строку.
Теперь мы знаем как организовать ссылки на php файл, как разбить его на отсеки и, как организовать ссылки в html тексте на наш файл. Но, есть еще одно но... Дело в том, что если таким способом организовать сайт, то в первоначальном виде, когда ссылок будет не очень много, Вы не увидите проблем. Допустим будет 10 отсеков, все они спокойно улягутся в одном файле. Но если, ссылок очень много, например у нас 24000 страниц, то в принципе невозможно все отсеки уместить в один php файл. Вы сами замучаетесь искать тот или иной отсек в одном файле для, например, его изменения. Кроме этого, файл будет очень большой по размеру, наш all.php, занимал бы 1Мб. Кроме этого надо понимать еще одну вещь, на многих серверах есть ограничение по размеру исполняемых файлов (например 50Кб), если будет превышение, такой файл игнорируется и не исполняется. В связи с этими выкладками мы уменьшили размер основного файла до 8Кб, хотя за собой он несет нагрузку по исполнению на 1Мб. Как же это сделать? Php предоставляем прекрасную возможность по разбивке php файла на куски посредством команды инклюд ....
Теперь становится понятно, как мы уменьшили наш основной файл до 8Кб, потому что все остальные подключаемые файлы имеют суммарный размер 1 Мб, а мы их спрятали в отдельную папку и подключаем по мере надобности, то есть в зависимости от ссылок в командной строке. Команда инклюд, подключает файлы как - будто они и были прописаны в основном скрипте, поэтому, если во вставляемых файлах вы будете обращаться к базам данных, либо к html файлам, то отсчет надо будет вести именно от основного файла, в нашем случае all.php . Например, есть папка html , в ней лежит файл one.htm , как его вывести на печать. Тогда файл one.php выглядит так:
|
include
"html/one.htm"; exit ; ?> |
Мы распечатали содержимое one.htm , плюс напечатали Это первый отсек программы , и остановили программу. То есть, исходя из теории html, мы должны были бы подключить файл one.htm так: include "../html/one.htm" , так как папка html лежит на один уровень выше файла one.php . Но, в php - это не так, команда инклюд просто добавляет код в скрипт и он становится его неотъемлемой частью, значит отсчет всех ссылок пойдет относительно основного файла, а не подключаемых.
uslovie1 =yes" >Просто Первая ссылка
uslovie1 =yes&act =yes" >
uslovie2 =yes" >Просто Вторая ссылка
uslovie2 =yes&act =yes" >Вторая ссылка, но и еще act=yes
Тогда php файл one.php преобразуем в такой:
|
if
($act
== "yes"){
include "html/one.htm"; exit ; } print "Это первый отсек программы"; exit ; ?> |
Если нажали на ссылку uslovie1 =yes" >Просто Первая ссылка, напечатается Это первый отсек программы, если нажали на ссылку uslovie1 =yes&act =yes" >Первая ссылка, но и еще act=yes, то распечатается содержимое файла html/one.htm , и программа остановится.
403 Кб
Скачайте архив, сделано так, что Php знать необязательно, надо знать только HTML.
Для меня проще будет сделать копию index.php и переименовать например в contact.php и внем изменить middle на middle2 с новым содержанием.
Чайник я немного в php
У меня есть сайт.
index файл в корне. В другой папке файлы top middle buttom например.
Есть менюшка. Вот хочу, чтобы при нажатии на пункт меню показывался другой middle.
Как такое сделать, и куда впихнуть???
Ответ: Ну как куда. Всё очень просто, это примерно сделать скрипт меню menus.html
Ответ: у вас не сервере отключена поддержка глобальных переменных, если так, то можете в начале всех своих скриптов ставить строку
if (isset ($_GET )) { foreach ($_GET as $key =>$val ) { $$key =$val ; } }
тогда сможете использовать наши скрипты без использования $_GET [ " uslovie" ] , а просто ставить $uslovie
Спасибо за инфу.
Ответ:
Ответ:
Не существенно, но чтоб порядок))
Ответ:
Ответ: Александр, был месяц в отпуске, плюс сейчас завершаю новую версию всего сайта. Как закончу, сделаю небольшую страницу по этому поводу.
Ответ:
Подскажите, пожалуйста, как сделать, чтобы на каждой странице менялся ЗАГОЛОВОК вверху окна: тоесть "
Например, если перейти по ссылке " 1" , то чтобы окно называлось " Первый раздел. Математика" - тоесть чтобы HTML-код был
А если по ссылке " 2" , например, то чтобы окно называлось " Второй раздел. География" - тоесть чтобы HTML-код был
Как сделать, чтобы оно изменялось с помощью РНР?
Ответ: html.html
Потом в папке где у тебя лежит файл all.php создаёшь
файл с именем " .htaccess" и в него вносишь строчку
| Страница: 1 | |
| Текущая страница: 1 | Всего сообщений: 22 |
PHP — это встраиваемый серверный язык программирования. Большая часть его синтаксиса заимствована из C , Java и Perl . А также добавлена пара уникальных характерных только для PHP функций . Основная цель этого языка — создание динамически генерируемых PHP HTML страниц .
PHP в HTML
При создании сложных веб-страниц вы столкнетесь с необходимостью объединить PHP и HTML для реализации конкретных задач. На первый взгляд это может показаться сложным, так как PHP и HTML являются двумя независимыми дисциплинами, но это не так. PHP предназначен для взаимодействия с HTML , и его код может быть включен в разметку страницы.
В HTML-страницы PHP-код включается с помощью специальных тегов. Когда пользователь открывает страницу, сервер обрабатывает PHP-код , а затем отправляет результат обработки (не сам PHP-код ) в браузер.
HTML и PHP довольно просто объединить. Любая часть PHP-скрипта за пределами тегов игнорируется PHP-компилятором и передается непосредственно в браузер. Если посмотреть на пример, приведенный ниже, то можно увидеть, что полный PHP-скрипт может выглядеть следующим образом:
Привет, сегодня .