Problemer med logind system

Husk altid af dræbe videre afvikling af php når du skal redelegere browsere.

Header('location: *'); stop ikke automatisk afvikling af php, når du har sendt en header.

Din "session_start();" skal være før din include. Så burde du komme af med "headers already sent" fejl.

Som jeg læser koden vil du få den fejlbesked, hvergang der logges på med forkert brugernavn eller adgangskode.

Samme som de andre er inde på + du kan lige så godt slå de 2 sql kald sammen til et, der ud over skal du have din fetch array ind i din if, så den ikke bliver kaldt hvis der ik er noget at putte i dit array.

 <?php 
 
 session_start();
 include('connect.php');
 
 $salt = "hatala";
 $evtlastsalt = "haha";
 
 $brugernavn = mysql_real_escape_string($_REQUEST['brugernavn']);
 $adgangskode = mysql_real_escape_string($_REQUEST['adgangskode']);
 $adgangskode = md5($salt . $adgangskode . $evtlastsalt);
 
 $sql = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere WHERE brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
 $resultat = mysql_query($sql);
 
 
 if (mysql_num_rows($resultat) == 1) {
   $row = mysql_fetch_array($resultat);
   if ($row['brugertype'] == 1) {
     $_SESSION['brugerid'] = $row['id'];
     header('Location: admin.php');
     exit;
   } else {
     $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
     header("Location: logind.php?besked=" . $fejl);
     exit;
   }
 } else if ($brugernavn == "") {
   $fejl = urlencode("Indtast venligst et brugernavn");
   header("Location: logind.php?besked=" . $fejl);
   exit;
 } else if ($adgangskode == "") {
   $fejl = urlencode("Indtast venligst en adgangskode");
   header("Location: logind.php?besked=" . $fejl);
   exit;
 } else {
   $fejl = urlencode("Forkert brugernavn og/eller adgangskode");
   header('Location: logind.php?besked=' . $fejl);
   exit;
 }
 ?>

Du har glemt ; efter dit include

Har du slettet den cookie du havde problemer med sidst?

Drop at bruge $_REQUEST, og vælg så i stedet imellem $_GET, $_POST, $_SESSION og $_COOKIE - så ved du hvor dine værdier stemmer fra i stedet for at gætte dig til det når du bruger $_REQUEST

Jamen jeg ved også godt hvad det er for nogle jeg bruger...

Så kan du overveje en tænkt situation.

$_REQUEST er en sammenblanding af: $_GET, $_POST, $_COOKIE
Dvs. $_GET overskriver $_POST værdier som overskriver $_COOKIE værdier.

PHPSESSID er en "magisk" værdi som sendes med hvert request til serveren og fortæller hvilket session_id() serveren skal arbejde med.

Min cookie hedder USERID=1. I en formular sender jeg et hidden felt med samme navn USERID og en værdi der er 1. Nu indholder $_REQUEST['USERID'] det der stod i formularen. Men inden jeg sender formularen har noget malware manipuleret med formularen action URL, så der står ?USERID=20 - Nu indeholder $_REQUEST['USERID'] altså "20". Det er jo langt fra hvad det USERID var, og nu er det så en helt tredje bruger jeg sender formularen med til serveren.

Hvis min kode skal matche $_COOKIE['USERID'] == $_REQUEST['USERID']. Så måske fejler den i hvert fald ikke, men måske overskriver den en adgangskode for en profil. Men nu ved jeg at jeg jo aldrig ville bruge $_REQUEST, så det ville ikke ske.

Nu har jeg lavet nogle ændringer til det, så det ser ud som følgende:

 <?php    
     session_start();
     include('connect.php')
     
     $salt = "hatala";
     $evtlastsalt = "haha";
     
     $brugernavn = mysql_real_escape_string($_REQUEST['brugernavn']);
     $adgangskode = mysql_real_escape_string($_REQUEST['adgangskode']);
     $adgangskode = md5($salt.$adgangskode.$evtlastsalt);
         
     $sql2 = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
     $resultat2 = mysql_query($sql2);
     $post = mysql_fetch_array($resultat2);
     
     if (mysql_num_rows($resultat) == 1)
     {        
         if ($post['brugertype'] == 1)
         {
             $_SESSION['brugerid'] = $post['id'];
             header('Location: admin.php');
             exit;
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
             exit;
         }
     }
     else if ($brugernavn == "")
     {
         $fejl = urlencode("Indtast venligst et brugernavn");
         header("Location: logind.php?besked=" . $fejl);
         exit;
     }
     else if ($adgangskode == "")
     {
         $fejl = urlencode("Indtast venligst en adgangskode");
         header("Location: logind.php?besked=" . $fejl);
         exit;
     }
     else
     {
         $fejl = urlencode("Forkert brugernavn og/eller adgangskode");
         header('Location: logind.php?besked=' . $fejl);
         exit;
     }
 ?>

Der er bare det problem, at den kommer med denne fejlmeddelse:
Parse error: syntax error, unexpected T_VARIABLE in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/logind2.php on line 5

Nu kommer den med følgende fejl meddelse:
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/logind2.php on line 14 Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/logind2.php on line 16 Warning: Cannot modify header information - headers already sent by (output started at /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/logind2.php:14) in /customers/darkrune.dk/darkrune.dk/httpd.www/nyheder/logind2.php on line 46

Efter at den er blevet ændret til dette:

 <?php    
     session_start();
     include('connect.php');
     
     $salt = "hatala";
     $evtlastsalt = "haha";
     
     $brugernavn = mysql_real_escape_string($_REQUEST['brugernavn']);
     $adgangskode = mysql_real_escape_string($_REQUEST['adgangskode']);
     $adgangskode = md5($salt.$adgangskode.$evtlastsalt);
         
     $sql = "SELECT id, navn, email, brugertype, ip, brugernavn, rpgnavn, liv, styrke, hurtighed, viden, charme, popularitet, penge, indkomst, rang, sideid FROM brugere brugernavn ='" . $brugernavn . "' AND adgangskode ='" . $adgangskode . "';";
     $resultat = mysql_query($sql);
     $post = mysql_fetch_array($resultat);
     
     if (mysql_num_rows($resultat) == 1)
     {        
         if ($post['brugertype'] == 1)
         {
             $_SESSION['brugerid'] = $post['id'];
             header('Location: admin.php');
             exit;
         }
         else
         {
             $fejl = urlencode("Du har ikke rettigheder til at komme ind i denne sektion!");
             header("Location: logind.php?besked=" . $fejl);
             exit;
         }
     }
     else if ($brugernavn == "")
     {
         $fejl = urlencode("Indtast venligst et brugernavn");
         header("Location: logind.php?besked=" . $fejl);
         exit;
     }
     else if ($adgangskode == "")
     {
         $fejl = urlencode("Indtast venligst en adgangskode");
         header("Location: logind.php?besked=" . $fejl);
         exit;
     }
     else
     {
         $fejl = urlencode("Forkert brugernavn og/eller adgangskode");
         header('Location: logind.php?besked=' . $fejl);
         exit;
     }
 ?>

Jeg har sat min browser til at slette det meste af den slags ting, når jeg lukker den ned. De resterende ting som den ikke sletter automatisk har jeg også slettet med et program.

Med hensyn til at ændre $_REQUEST, så ved jeg godt, hvad det er for nogle jeg bruger. Men jeg kan godt gøre det alligevel.