Jsou zde povoleny register_globals

lopikol · 2010-09-09 19:48:49

Mám problém, napsal jsem si login script, ale nefunguje mi tu. Chybu to nehlásí žádnou. Na localhostu mi jede vše OK.

berkas1 · 2010-09-09 20:21:01

register globals jsou vypnuté viz http://endoratest.mzf.cz/phpinfo.php

JF · 2010-09-09 20:46:04

Presne tak, sú vypnuté na všetkých 3 serveroch:
- server endora: http://srv1.endora.cz/phpinfo.php
- server zajicek: http://srv2.endora.cz/phpinfo.php
- server slonice: http://srv3.endora.cz/phpinfo.php

lopikol · 2010-09-09 20:48:31

A jak to mám teda udělat Ani když si platim plusko nejsou?

admin · 2010-09-09 21:29:55

muzete si je aktivovat pomoci htaccess ... viz faq

lopikol · 2010-09-10 15:15:45

Tak jsem na první řádek ještě před RewriteEngine On přidal php_value register_globals "on" , ale stále to nefunguje! Jaký je důvod, že je to defaultně vypnuto?

berkas1 · 2010-09-10 19:17:40

protože je to bezpečnostní riziko

nemá tam být php_value register_globals "on"

ale

php_flag register_globals on

lopikol · 2010-09-10 21:18:28

OK. Poradil by mi tedy někdo, jak řešit přihlášení bez tété "fičury"??

JF · 2010-09-10 21:27:04

Môžeš si zapnúť vypisovanie chýb vložením do .htaccess toto php_flag display_errors on a tým zistíš kde robíš v programe chybu

lopikol · 2010-09-10 21:28:24

špatně si mne pochopil. Chtěl jsem poradit, jak přihlašování upravit tak, abych nemusel užívat register_globals

JF · 2010-09-10 21:40:26

Prihlasovanie do čoho? Do nejakého systému alebo máš niečo vlastné naprogramované?

Ukáž zdrojový kód ako to máš urobené.

lopikol · 2010-09-10 22:22:17

Dělám na vlastním RS

<?php
include ("./db.php");
include ("./data.php"); 

mysql_connect ( $mysql_server, $mysql_user, $mysql_password );
mysql_select_db ( $mysql_db );
mysql_query ("SET NAMES 'utf8';"); 
 
    if(isset($_POST['submit'])){ 
     $SElogin = $_POST['lgn'];
     $pwd = $_POST['pwd'];
     $SEpass = md5($pwd);

     if($SElogin=="" OR $SEpass==""){ echo "<p>Nebyly vyplněny všechny údaje!</p>";}
       
       else{
       
$result=mysql_query("SELECT * FROM users WHERE login='$SElogin' AND password='$SEpass'");

$count=mysql_num_rows($result);

 if($count==1){
session_register("SElogin");
session_register("SEpass");
header("location: http://".$_SERVER['SERVER_NAME']."/admin/index.php");
}else {
echo "<p>Špatné jméno nebo heslo!</p>";
}
       }    
    }
?>

JF · 2010-09-11 08:45:37

session_register() - táto funkcia je zastaralá pre PHP 5.3.x, vhodná je pre verziu PHP nižšiu ako 4.1.0

Ak chceš, aby tvoje skripty nebrali ohľad na register_globals, musíš namiesto toho použiť $_SESSION polia.

register_globals je nastavenie servera, pokiaľ je zapnuté tak sa ti premenné zlučujú, čiže pošleš cez GET nejakú premennú napríklad ?login=uzivatel a v PHP kóde ju použiješ ako $login, pokiaľ je register_globals vypnuté tak premenná $login bude prázdna a text uzivatel nájdeš len v premennej $_GET['login']

lopikol · 2010-09-11 08:47:36

ale posílat přes GET takovéto věci mi přijde ještě víc nebezpečný než toto!

JF · 2010-09-11 08:49:44

To bol príklad, to samé platí pre posielanie cez POST, kde keď pošleš do premennej login text uzivatel tak pri vypnutom register_globals ten text nájdeš len v premennej $_POST['login'] a nie v $login

lopikol · 2010-09-11 09:24:26

ok chápu. Takže jsem to upravil, ale mám problém. Vždy se to odešle. Tzv ikdyž nevyplnim nějaké políčko, tak mi ta chyba nevyskočí!

$nick = mysql_real_escape_string($_POST["nick"]);
$pass = mysql_real_escape_string($_POST["heslo"]);
$md5pass = md5($pass);

 if($nick==""){ echo "<p>Nebyl vyplněn nick!</p>";}
 elseif($pass==""){echo"<p>Nebylo vyplněno heslo</p>";}
 else{
....... */ zpracování kodu - vytoření session*/

JF · 2010-09-11 09:35:52

Myslím že funkcia mysql_real_escape_string() ti tam je zbytočná keďže sa jedná u užívateľa o jedno slovo a u hesla je to to samé. Tá funkcia je dobrá pri posielaní dlhých reťazcov kde sú v texte odriadkovania a podobne.

Ja to robím približne takto:

 if (($meno)&($heslo)&($prihlasenie))
  {
  $result = @mysql_query("SELECT id, name, pass, mail FROM users WHERE mail='".$meno."'");
  list($id, $name, $pass, $mail) = mysql_fetch_row($result);
  if ($heslo == $pass)
    {
      $_SESSION['logged'] = "LoggedOK";
      $_SESSION['id'] = $id;
      $_SESSION['name'] = $meno;
      $_SESSION['mail'] = $mail;
      header("Location: /");
    }
  else
    {
      header("Location: /chybne-prihlasenie");
    }
  }

Samozrejme je na tebe čo je pre teba jednoduchšie

lopikol · 2010-09-11 09:45:06

Díky za ukázku, ale mě pořád vrtá hlavou proč když nevyplnim nějakou ikonu, tak mi to nenapíš tu chybu. Prostě se to zpracuje! Jinak mysql_real_escape_string() jsem smazal.

JF · 2010-09-11 09:48:38

Máš Google talk? Ak áno tak si ma pridaj, viď môj podpis a pozrieme sa na to spolu

lopikol · 2010-09-11 09:54:48

Nemám, ale napadlo mne přidat die(); a funguje to jen z části. Sice to vypíše daný error, ale nezobrazí se html kod > die(); ukončí načítání!

JF · 2010-09-11 10:04:28

die() - ukončí bežiaci skript, čiže čo je za týmto príkazom sa nevykoná a to znamená že to ani neodošle.

Prípadne ak máš Skype tak ma nájdeš pod nickom: helpdesk.endora

#1 2010-09-09 19:48:49

Re: Jsou zde povoleny register_globals

#2 2010-09-09 20:21:01

Re: Jsou zde povoleny register_globals

#3 2010-09-09 20:46:04

Re: Jsou zde povoleny register_globals

#4 2010-09-09 20:48:31

Re: Jsou zde povoleny register_globals

#5 2010-09-09 21:29:55

Re: Jsou zde povoleny register_globals

#6 2010-09-10 15:15:45

Re: Jsou zde povoleny register_globals

#7 2010-09-10 19:17:40

Re: Jsou zde povoleny register_globals

#8 2010-09-10 21:18:28

Re: Jsou zde povoleny register_globals

#9 2010-09-10 21:27:04

Re: Jsou zde povoleny register_globals

#10 2010-09-10 21:28:24

Re: Jsou zde povoleny register_globals

#11 2010-09-10 21:40:26

Re: Jsou zde povoleny register_globals

#12 2010-09-10 22:22:17

Re: Jsou zde povoleny register_globals

#13 2010-09-11 08:45:37

Re: Jsou zde povoleny register_globals

#14 2010-09-11 08:47:36

Re: Jsou zde povoleny register_globals

#15 2010-09-11 08:49:44

Re: Jsou zde povoleny register_globals

#16 2010-09-11 09:24:26

Re: Jsou zde povoleny register_globals

#17 2010-09-11 09:35:52

Re: Jsou zde povoleny register_globals

#18 2010-09-11 09:45:06

Re: Jsou zde povoleny register_globals

#19 2010-09-11 09:48:38

Re: Jsou zde povoleny register_globals

#20 2010-09-11 09:54:48

Re: Jsou zde povoleny register_globals

#21 2010-09-11 10:04:28

Re: Jsou zde povoleny register_globals

Zápatí