Een vraag over inloggen.
Ik ben de ontwerper van een online game die gebruikt maakt van sqlite.
Nu ben ik gestart met PHP om een UCP te maken.
Dit gaat tot nu toe goed en dus heb ik een simpel login formuliertje gemaakt.
In het script worden na het inloggen de goede data getoond.
Het probleem is eigenlijk dat als je weer naar de home pagina gaat waar ook de staat worden laten gezien, dat er niks word laat gezien. En ik denk dat dit komt omdat het script niet weet waar het de data vandaan moet halen.
Nu vraag ik me af, kan ik niet de gebruikersnaam in een soort tijdelijke array opslaan en vandaar ophalen?(zo werkt dat in de code waar ik de game mee ontwerp ook.) En als dit mogelijk is? Hoe doe ik dit dan?
Mocht het nodig zijn is hier de pagina login.php:
Quote:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
error_reporting(E_ALL);
class MyDB extends SQLite3
{
function __construct()
{
$this->open('LARPSERVER/scriptfiles/Data/database/testdatabase.db');
}
}
$db = new MyDB() or die ("Unable to open");
$sql = 'SELECT * FROM USERS WHERE MAIL="'.$_POST["MAIL"].'" AND PASSWORD="'.$_POST["PASSWORD"].'"';
$stmt = $db->query($sql);
while($row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
$email_address = $row["MAIL"];
$password = $row["PASSWORD"];
if($password==$_POST["PASSWORD"])
{
echo "<h1>Logged In</h1>";
echo "ID = ". $row['ID'] . "<br>";
echo "NAME = ". $row['NAME'] . "<br>";
echo "USERNAME = ". $row['USERNAME'] . "<br>";
echo "MAIL = ". $row['MAIL'] . "<br>";
}
}
while(!$row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
header("Location: login_fail.html");
exit("Try again.");
}
$db->close();
?>
error_reporting(E_ALL);
class MyDB extends SQLite3
{
function __construct()
{
$this->open('LARPSERVER/scriptfiles/Data/database/testdatabase.db');
}
}
$db = new MyDB() or die ("Unable to open");
$sql = 'SELECT * FROM USERS WHERE MAIL="'.$_POST["MAIL"].'" AND PASSWORD="'.$_POST["PASSWORD"].'"';
$stmt = $db->query($sql);
while($row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
$email_address = $row["MAIL"];
$password = $row["PASSWORD"];
if($password==$_POST["PASSWORD"])
{
echo "<h1>Logged In</h1>";
echo "ID = ". $row['ID'] . "<br>";
echo "NAME = ". $row['NAME'] . "<br>";
echo "USERNAME = ". $row['USERNAME'] . "<br>";
echo "MAIL = ". $row['MAIL'] . "<br>";
}
}
while(!$row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
header("Location: login_fail.html");
exit("Try again.");
}
$db->close();
?>
Gewijzigd op 20/02/2018 11:51:11 door Jasper Schellekens
Jasper Schellekens op 20/02/2018 11:44:05:
Nu vraag ik me af, kan ik niet de gebruikersnaam in een soort tijdelijke array opslaan en vandaar ophalen?
Ja, PHP heeft daarvoor een interne array: $_SESSION voor sessies.
Ward van der Put op 20/02/2018 13:46:09:
Ja, PHP heeft daarvoor een interne array: $_SESSION voor sessies.
Jasper Schellekens op 20/02/2018 11:44:05:
Nu vraag ik me af, kan ik niet de gebruikersnaam in een soort tijdelijke array opslaan en vandaar ophalen?
Ja, PHP heeft daarvoor een interne array: $_SESSION voor sessies.
Dankjewel, met de gegeven link is het gelukt. Nu vraag ik me af, hoe zou uitloggen dan werken?
Word er met session_destroy(); uitgelogd?
En hoe kan ik checken of iemand ingelogd is?
Code (php)
Als je alles wilt wissen, dan raad ik dit aan:
Code (php)
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
<?php
// open de sessie-handler
session_start();
// leeg de SESSION-global
$_SESSION = array();
// Verwijder alle sessies.
session_destroy();
?>
// open de sessie-handler
session_start();
// leeg de SESSION-global
$_SESSION = array();
// Verwijder alle sessies.
session_destroy();
?>
Code (php)
1
" or "1"="1
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
function session_stop() {
// @see php.net/session_destroy
// Empty $_SESSION.
$_SESSION = array();
// Do not close the session as this will make it readonly, preventing the physical file from being deleted.
// Delete session cookie.
if (ini_get('session.use_cookies')) {
$params = session_get_cookie_params();
setcookie(
session_name(),
'',
time() - 42000,
$params['path'],
$params['domain'],
$params['secure'],
$params['httponly']
);
}
// Destroy the session.
session_destroy();
} // function session_stop
?>
function session_stop() {
// @see php.net/session_destroy
// Empty $_SESSION.
$_SESSION = array();
// Do not close the session as this will make it readonly, preventing the physical file from being deleted.
// Delete session cookie.
if (ini_get('session.use_cookies')) {
$params = session_get_cookie_params();
setcookie(
session_name(),
'',
time() - 42000,
$params['path'],
$params['domain'],
$params['secure'],
$params['httponly']
);
}
// Destroy the session.
session_destroy();
} // function session_stop
?>
@Rob Doemaarwat
Ik ben bekend met SQL injectie en in de code waarmee ik de game ontwerp word dit voorkomen op de volgende manier:
Code (php)
1
format(szQuery2, sizeof(szQuery2), "INSERT INTO `PINCODES` (`PlayerName`, `Pin1`) VALUES('%s', '%d')", DB_Escape(GetName(playerid)), DB_Escape(inputchar[playerid]));
In de bovenstaande query word DB_Escape() gebruikt om SQL injectie te voorkomen.
Hoe voorkom ik zo een SQL injectie nou in PHP/SQLite3? Ik neem aan door de query te escapen? Ik vind er helaas niks over.
DB_Escape is inderdaad om te escapen maar is geen php functie en ik betwijfel of het compitabel met PHP/sqlite3 is.
Dit is de functie DB_Escape:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
DB_Escape(text[])
{
new
ret[MAX_INI_ENTRY_TEXT * 2],
ch,
i,
j;
while ((ch = text[i++]) && j < sizeof (ret))
{
if (ch == '\'')
{
if (j < sizeof (ret) - 2)
{
ret[j++] = '\'';
ret[j++] = '\'';
}
}
else if (j < sizeof (ret))
{
ret[j++] = ch;
}
else
{
j++;
}
}
ret[sizeof (ret) - 1] = '\0';
return ret;
}
{
new
ret[MAX_INI_ENTRY_TEXT * 2],
ch,
i,
j;
while ((ch = text[i++]) && j < sizeof (ret))
{
if (ch == '\'')
{
if (j < sizeof (ret) - 2)
{
ret[j++] = '\'';
ret[j++] = '\'';
}
}
else if (j < sizeof (ret))
{
ret[j++] = ch;
}
else
{
j++;
}
}
ret[sizeof (ret) - 1] = '\0';
return ret;
}
Wat is de juiste manier om te escapen in PHP/SQLite3?
Gewijzigd op 21/02/2018 13:14:58 door Jasper Schellekens
Kijk hier eens naar:
http://php.net/manual/en/sqlite3.escapestring.php
Gewijzigd op 21/02/2018 13:16:14 door - Ariën -
- Ariën - op 21/02/2018 13:15:18:
Die code zal zeker niet werken in PHP.
Kijk hier eens naar:
http://php.net/manual/en/sqlite3.escapestring.php
Kijk hier eens naar:
http://php.net/manual/en/sqlite3.escapestring.php
Mja, maar dat is em ook niet helemaal, kijk maar eens naar de omschrijving (waarschuwing: niet binary safe) en naar de user comments (escaped geen dubbele quotes die wel een speciale betekenis hebben en er gebeurt ook iets wanneer een string \0 (een "null byte") bevat).
@Thomas dat viel mij ook al op. Dat is wel een minpunt.
Ik heb nu deze code maar de volgende error:
Code (php)
1
Fatal error: Call to undefined function escapeString() in D:\AppServ\www\ucp\login.php on line 9
Ik denk dat ik de functie verkeerd gebruik.
code:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
error_reporting(E_ALL);
$db = new MyDB() or die ("Unable to open");
$postmd5pass = $_POST["PASSWORD"];
$postmd5pass = md5($postmd5pass);
$postmail = $_POST["MAIL"];
escapeString($postmd5pass);
escapeString($postmail);
$sql = "SELECT * FROM USERS WHERE MAIL='$postmail' AND PASSWORD='$postmd5pass'";
$stmt = $db->query($sql);
while($row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
$email_address = $row["MAIL"];
$password = $row["PASSWORD"];
$l_mail = $row["MAIL"];
$l_name = $row["NAME"];
$l_username = $row["USERNAME"];
$l_id = $row["ID"];
if($password==$postmd5pass)
{
echo "Succesfully logged in!.<br><br><a href='index.php' class='btn btn-info'>Continue</a>";
$_SESSION['loggedin_user']= $l_username;
$_SESSION['loggedin_mail']= $l_mail;
$_SESSION['loggedin_name']= $l_name;
$_SESSION['loggedin_id']= $l_id;
}
}
while(!$row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
include"login_fail.php";
include"loginform.php";
}
?>
error_reporting(E_ALL);
$db = new MyDB() or die ("Unable to open");
$postmd5pass = $_POST["PASSWORD"];
$postmd5pass = md5($postmd5pass);
$postmail = $_POST["MAIL"];
escapeString($postmd5pass);
escapeString($postmail);
$sql = "SELECT * FROM USERS WHERE MAIL='$postmail' AND PASSWORD='$postmd5pass'";
$stmt = $db->query($sql);
while($row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
$email_address = $row["MAIL"];
$password = $row["PASSWORD"];
$l_mail = $row["MAIL"];
$l_name = $row["NAME"];
$l_username = $row["USERNAME"];
$l_id = $row["ID"];
if($password==$postmd5pass)
{
echo "Succesfully logged in!.<br><br><a href='index.php' class='btn btn-info'>Continue</a>";
$_SESSION['loggedin_user']= $l_username;
$_SESSION['loggedin_mail']= $l_mail;
$_SESSION['loggedin_name']= $l_name;
$_SESSION['loggedin_id']= $l_id;
}
}
while(!$row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
include"login_fail.php";
include"loginform.php";
}
?>
Een paar tips:
- Gebruik geen md5() meer, omdat die zeer zwak is, en gebruik bij sterke voorkeur: password_hash() en password_verify()
- Het is niet nodig om op lijn 15 t/m 20 variabelen te kopiëren.
- Sla alleen een userID op in een sessie. Waarom zou je een mailadres of een naam nodig hebben?
- ververs de pagina met een header()
- voer een session_regenerate_id() uit als je inlogt, dit is een state change
- combineer geen serverside/clientside zooi: eerst een echo en dan dingen die je wegschrijft naar de sessie? Hoe werkt dat dan? :/
Echt een behulpzame plek hier:)
Nu probeer ik in-game reports te laten zien en dat werkt prima.
Ik heb dan boven aan de page een stukje code die het admin level zou moeten nakijken.
Echter hier gaat wat mis:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
if(isset($_SESSION['loggedin_id'])){
$dbget_id = $_SESSION["loggedin_id"];
}
$sql_prep = "SELECT * FROM USERS WHERE ID='$dbget_id'";
$stmt = $db->query($sql_prep);
$adminlevel = $row['ADMINLEVEL'];
if($adminlevel <= 1)
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
?>
if(isset($_SESSION['loggedin_id'])){
$dbget_id = $_SESSION["loggedin_id"];
}
$sql_prep = "SELECT * FROM USERS WHERE ID='$dbget_id'";
$stmt = $db->query($sql_prep);
$adminlevel = $row['ADMINLEVEL'];
if($adminlevel <= 1)
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
?>
Als ik mij niet vergis betekend dit; if($adminlevel <= 1). als admin level kleiner dan 1 is.
Nu is het admin level 6 en toch laat hij me deze melding zien. Wat doe ik fout?
Edit:
deze code doet het hem wel maar er zijn bepaalde functies die bijv een admin level van 3 nodig hebben. Dat lukt niet hiermee:
Code (php)
1
2
3
4
2
3
4
if(!$adminlevel == 0)
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
Gewijzigd op 22/02/2018 13:28:13 door Jasper Schellekens
- Ariën - op 22/02/2018 13:30:05:
Waar komt $row vandaan? Zo te zien mis je nog het fetchen van je data uit je result.
Inderdaad, je hebt gelijk.
Stom foutje van me.
Dit werkt:
Code (php)
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
while($row = $stmt->fetchArray(SQLITE3_ASSOC) )
{
$adminlevel = $row['ADMINLEVEL'];
if($adminlevel <= 1)
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
}
{
$adminlevel = $row['ADMINLEVEL'];
if($adminlevel <= 1)
{
exit( "Hello there, ". $row['NAME'] . "!<br>You are unauthorized to visit this page.");
}
}
Gewijzigd op 22/02/2018 14:41:21 door Jasper Schellekens
- Ariën - op 22/02/2018 14:48:01:
Persoonlijk zou ik geen exit() of die() gebruiken omdat je script niet hoeft te worden afgebroken. Ook niet in het geval als iemand geen juiste rechten heeft. Handel het gewoon af met een nette foutmelding in een 'if-else'-statement.
Dat heb ik gedaan, maar als ik geen exit() gebruik spamt hij de echo (foutmelding) 100 x over de pagina.
Desnoods kan je ook een functie/method maken die foutmeldingen in een net HTML-document toont. Exceptions zouden al heel handig zijn hiervoor.
Gewijzigd op 22/02/2018 14:51:39 door - Ariën -
- Ariën - op 22/02/2018 14:50:54:
Dan moet je goede afhandeling met if-else inbouwen.
Desnoods kan je ook een functie/method maken die foutmeldingen in een net HTML-document toont.
Desnoods kan je ook een functie/method maken die foutmeldingen in een net HTML-document toont.
sorry ik volg je even niet.
Heb je misschien een voorbeeldje van de juiste afhandeling?
Edit: had de link nog niet gezien.
Gewijzigd op 22/02/2018 14:52:12 door Jasper Schellekens