Jump to content
psan7os

Proteger código PHP

Recommended Posts

psan7os

Boas pessoal preciso da vossa ajuda, estou a desenvolver um site, onde para aceder a certas áreas temos que ter registo, e temos que aceder através do login, a minha preocupação é que se o utilizador digitar a diretoria da parte do site que supostamente tem que ser protegida ele consegue entrar preciso mesmo da vossa ajuda, já me fartei de procurar mas encontro coisas diferentes em todo o lado e nada do que eu quero.

Deixo-vos o meu sistema de login/registo para verem o que se pode fazer.

<?php
 $ligacao = mysql_connect("localhost","root") or die ("Problemas na ligação ao MySql");
 mysql_select_db("bdteste1",$ligacao);

session_start();
session_name("login");
 $nome1=10;
 $password1=11;
 $nome100="$_POST[username]";
 $password100="$_POST[password]";
 $seleccionar = "SELECT username, password FROM registo";
 $nome = mysql_query ($seleccionar,$ligacao) or die ("Problemas a seleccionar");

$_SESSION['username']="$_POST[username]";
$_SESSION['password']="$_POST[password]";


while ($registo = mysql_fetch_row($nome)){
 IF ($nome100==$registo[0]){
	 $nome1=$nome1+2;
	 IF ($password100==$registo[1]){
	 $password1=$password1+1;
	 }
 }
 }
 IF ($nome1==$password1){
		 header("location: /site/php/home.php");
 }
 else
 echo ("<SCRIPT LANGUAGE='Javascript'>
window.alert('Os dados introduzidos estão incorrectos, tente novamente.')
window.location.href='../site/home.php';
</SCRIPT>");
 mysql_close($ligacao);

?>

<?php
session_start();
$username = $_POST ["username"];
$password = $_POST["password"];
$nome = $_POST ["nome"];
$email = $_POST ["email"];
$morada = $_POST ["morada"];
$tlm = $_POST ["tlm"];
$newsletter = $_POST ["newsletter"];
$_SESSION['nome']="$_POST[nome]";
$conexao = mysql_connect("localhost","root");
if (!$conexao)
die ("Erro de conexão com localhost, o seguinte erro ocorreu -> ".mysql_error());
$banco = mysql_select_db("bdteste1",$conexao);
if (!$banco)
die ("Erro de conexão com banco de dados, o seguinte erro ocorreu -> ".mysql_error());

$query = "INSERT INTO `registo` ( `username` , `password` , `nome` , `email` , `morada` , `tlm` , `newsletter`)
VALUES ('$username', '$password', '$nome', '$email', '$morada', '$tlm', '$newsletter')";
mysql_query($query,$conexao);
header("location: /site/home.php");
?>

Agradeço toda a ajuda ;)

Edited by yoda

Share this post


Link to post
Share on other sites
HappyHippyHippo

guardas em sessão um valor identificativo de quem se encontra autenticado, que ao sair é removido

dessa forma consegues verificar em qualquer altura se existe alguém autenticado e quem.

se não existir ninguém autenticado ou se não tiver permissão, fazes o que tens a fazer para prevenir o acesso aos dados


IRC : sim, é algo que ainda existe >> #p@p

Share this post


Link to post
Share on other sites
psan7os

Guardo por exemplo o username e passo para a outra página?

Depois faço um if de verificação? Se sim, o que é que verifico?

Share this post


Link to post
Share on other sites
panickz

Podes meter no $_POST["username"] e na password desta forma para prevenires SQL Injection vai funcionar igual é apenas mais uma segurança.

$nome100=mysql_real_escape_string($_POST["username"]);

Podes tambem contar com mysql_num_rows as linhas que existem

Share this post


Link to post
Share on other sites
psan7os

Obrigado pessoal, já consegui por o if a funcionar.

Quanto à segurança, ao usar isto mysql_real_escape_string preciso de proteger a password também?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.