[es] - Registracija korisnika

NisamLepAlSamGlup

Član broj: 135985
Poruke: 5
*.dynamic.xdsl-line.inode.at.

Profil

^{01.03.2007. u 20:52 - pre 208 meseci}

radim na sajtu na kome cu imati registraciju korisnika. Interesuje me sta vi predlazete kao resenje, cookie, session, https ili nesto jos

Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.ptt.yu.

+257 Profil

Re: Registracija korisnika

^{02.03.2007. u 07:52 - pre 208 meseci}

Brkas pojmove. Sa strane php-a treba ti ili cookies ili session (preporucljivo je session), a da li ces koristiti http ili https je stvar toga kakav server imas (da li onaj sa sertifikatom tj. ssl i zelis da ti se kriptuju podaci od korisnika do tvog servera ili bez enkripcije...
Ako nemas server koji je sa ssl-om, ne znam kako ces ga upotrebiti kad nista ne slusa na portu 443 (valjda taj bese)...

Kad sve ostalo zakaže, pročitaj uputstvo...

Odgovor na temu

NisamLepAlSamGlup

Član broj: 135985
Poruke: 5
*.dynamic.xdsl-line.inode.at.

Profil

Re: Registracija korisnika

^{02.03.2007. u 13:43 - pre 208 meseci}

web server je sa sertifikatom, dakle https. Pitanje je samo sta je prakticnije (za sta treba manje vremena) za implementaciju.

Odgovor na temu

zrnoo
Vukašin
dizajn, programiranje
Beograd

Član broj: 73204
Poruke: 312
*.adsl.beotel.net.

ICQ: 56375637
Sajt: www.Tjuner.com

Profil

Re: Registracija korisnika

^{03.03.2007. u 19:04 - pre 208 meseci}

evo ti jednog malog primera (dela) koda sa - session, (znaci ne cookies)...ovo ti je iz glave - pa malo proveri skriptu tj njen deo !

Prvo provera

Code:

session_start();

if (isset($HTTP_POST_VARS['korisnik']) && isset($HTTP_POST_VARS['lozinka']))
{
  // Ukoliko korisnik zeli da se uloguje
  $korisnik = $HTTP_POST_VARS['korisnik'];
  $lozinka = $HTTP_POST_VARS['lozinka'];

  mysql_select_db($database, $con);
  $query = "select * from korisnici where user='$korisnik' and pass='$lozinka'";
  $result = mysql_query($query, $con);
  if (mysql_num_rows($result) >0 )
  {
    // ukoliko u bazi postoji registrovan korisnik
    $HTTP_SESSION_VARS['valid_user'] = $korisnik;
  }
    }

ispis i prolaz dalje

Code:

 if (isset($HTTP_SESSION_VARS['valid_user']))
 {
 echo 'Ulogovani ste kao: '.$HTTP_SESSION_VARS['valid_user'].' ;
 echo '<a href="members.php">Ulaz samo za clanove</a> ';
 }
 else
 {
 if (isset($korisnik))
 {
 // Ukoliko ima problem sa logovanjem
 echo 'Korisnik i Lozinka se nepoklapaju. Pokušajte ponovo. ';
 }

pozz

_{[Ovu poruku je menjao zrnoo dana 03.03.2007. u 20:15 GMT+1]}

_{[Ovu poruku je menjao zrnoo dana 03.03.2007. u 20:16 GMT+1]}

www.Tjuner.com
www.Canj-montenegro.com

Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.vdial.verat.net.

+257 Profil

Re: Registracija korisnika

^{04.03.2007. u 09:00 - pre 208 meseci}

Primer iz glave je los. Zasto? Prvo, selektuje sve iz tabele (sta ako tabela ima puno polja, sto usporavati bazu, kad ti treba samo jedan podatak?), a drugo ostavlja mogucost sql injectiona kod lozinke. Necu to objasnjavati, ali bih ja sql upit napravio ovako:

Code:

select pass from korisnici where user='$korisnik'

A onda proveravao da li je pass iz baze jednak sa pass-om iz post polja.
A sa strane http-a i https-a je isto sto se tice implementacije ako isti server radi i na portu za http i za https - podrska za php je u oba slucaja identicna, kriptuje se veza izmedju klijenta i servera, ne servera i php-a. Korisnik ce biti obavesten o sertifikatu ako je https a nece ako je http.

Kad sve ostalo zakaže, pročitaj uputstvo...

Odgovor na temu

zrnoo
Vukašin
dizajn, programiranje
Beograd

Član broj: 73204
Poruke: 312
*.adsl.beotel.net.

ICQ: 56375637
Sajt: www.Tjuner.com

Profil

Re: Registracija korisnika

^{04.03.2007. u 13:02 - pre 208 meseci}

dobro, sa jedne strane se i slazem ali sa druge ne...ako neplanira da ima neki ogroman broj korisnika (do par hiljada ce raditi maltene istom brznom), ovako mu je lakse ako zeli da kasnije ispisuje i ostale podatke o datom korisniku, nego da pravi novi upit.... al' dobro...to je njegov izbor!! :))

and then was i light! :)

www.Tjuner.com
www.Canj-montenegro.com

Odgovor na temu

NisamLepAlSamGlup

Član broj: 135985
Poruke: 5
*.dynamic.xdsl-line.inode.at.

Profil

Re: Registracija korisnika

^{04.03.2007. u 13:51 - pre 208 meseci}

Hvala

Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.ispone.net.au.

+30 Profil

Re: Registracija korisnika

^{04.03.2007. u 20:20 - pre 208 meseci}

Citat:

Jbyn4e: a drugo ostavlja mogucost sql injectiona kod lozinke. Necu to objasnjavati, ali bih ja sql upit napravio ovako:

Code:

select pass from korisnici where user='$korisnik'

Kako si ti zakljucio da njegov SQL ostavlja mogucnost za SQL injection a tvoj je navodno siguran ?

A da Najvise mi se svidja ono ostavlja mogucnost SQL injection kod lozinke :) A sta je sa username ???

Prvo ako je http://au3.php.net/magic_quotes On onda je gotovo nemoguce izvristi SQL injection na njegovom SQL-u

Ako je magic_quotes Off (redak slucaj)
PHP 3.x.x By default Off
Od PHP 4.x.x + By default ON

Onda je moguce izmenuti i TVOJ i NJEGOV SQL samo nigde nije moguce videti rezultat ali je uvek se mozes ulogovati.

Poz
sale

Sto mozes danas ne ostavljaj za sutra!

Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.ptt.yu.

+257 Profil

Re: Registracija korisnika

^{05.03.2007. u 08:56 - pre 208 meseci}

Sale, gde sam ja rekao da je moj siguran kod? Naravno da to ostavlja i dalje mogucnost sql injection-a, ali manje nego na prvi nacin. Ja bih naravno prvo uradio jedan addslashes i ereg_replace (ako je potrebno, gledano sa strane magic_quotes koje si napisao), ali to nije bila tema. Drugo, namerno sam napisao da to necu objasnjavati bas zbog mogucnosti sql injectiona jer onda moram i da pisem kako se zastititi od istog, a nemam vremena za to...

Sve u svemu, polako, naucice!

Kad sve ostalo zakaže, pročitaj uputstvo...

Odgovor na temu