Witam
Mam dwa pytania:
-
Czy to bezpieczne trzymanie danych, typu dane do logowania do bazy danych jako zmiennych w pliku *.php a potem includowania go na początku skryptów i wykorzystywanie tych danych? Czy to nie jest niebezpieczne??
-
Prosze sprawdzić mi ten skrypt logowania:
if ($_SESSION['myself']<>substr($_SERVER['DOCUMENT_ROOT'],0,-1).dirname($_SERVER['PHP_SELF']))
unset($_SESSION['myself']);
if ((!isset($_SESSION['login']) || !isset($_SESSION['id']) || !isset($_SESSION['name']) || !isset($_SESSION['level']) || !isset($_SESSION['myself'])) && $type<>'login')
header ("Location: ".$_SERVER['PHP_SELF']."?go=admin&type=login");
if (isset($_SESSION['login']) && !isset($type))
header ("Location: ".$_SERVER['PHP_SELF']."?go=admin&type=info");
if ($type=='login') {
echo "<h2>LOGOWANIE</h2><hr align='left' style='width:80%'><br><br>";
if (isset($_SESSION['error'])){
echo $_SESSION['error'].'<br>';
unset($_SESSION['error']);
}
(!isset($_SESSION['login']) || !isset($_SESSION['id']) || !isset($_SESSION['name']) || !isset($_SESSION['level']) || !isset($_SESSION['myself'])) or die ('<a id="great">Jeste¶ ju¿ zalogowany!</a><META HTTP-EQUIV="Refresh" CONTENT="2; URL='.$_SERVER['PHP_SELF'].'?go=admin&type=info">'.drawDesign(false,false,true));
if (isset($_POST['login'])) {
$search = "SELECT * FROM `users` WHERE `login`='".addslashes($_POST['login'])."'";
$wykonaj = mysql_query($search);
while($wiersz = mysql_fetch_array($wykonaj)){
$spr=1;
if (sha1($_POST['pass'])==$wiersz['pass']){
$_SESSION['id']=$wiersz['id'];
$_SESSION['login']=$wiersz['login'];
$_SESSION['name']=stripslashes($wiersz['name']);
$_SESSION['level']='1111111111';
$_SESSION['myself']=substr($_SERVER['DOCUMENT_ROOT'],0,-1).dirname($_SERVER['PHP_SELF']);
header ("Location: ".$_SERVER['PHP_SELF']."?go=admin&type=info");
}else {
$_SESSION['error']= '<a id="error">B³êdne has³o!</a>';
header ("Location: ".$_SERVER['PHP_SELF']."?go=admin&type=login");
}
}
if ($spr<>1) {
$_SESSION['error']= '<a id="error">B³±d logowania, spróbuj ponownie</a>';
header ("Location: ".$_SERVER['PHP_SELF']."?go=admin&type=login");
}
}ELSE{
echo '
<form method="post">
<table border="0">
<tr><td><b>Login: </b></td> <td><input type="text" name="login" class="inputbox" size="15"><br></td></tr>
<tr><td><b>Has³o: </b></td> <td><input type="password" name="pass" class="inputbox" size="15"></td></tr>
<tr><td> </td></tr>
<tr><td colspan="2" style="text-align:right"><button name="submit" value="Loguj" type="submit">Loguj</button></td></tr>
</table>
<br>
</form>';
}
}
Chodzi czy tu też nie ma możliwości jakiegoś włamania.
//pozdrawiam pinokio999