Schermata login su pagina web

[PetrizzelliGraphics]

up  l'errore persiste

[prampa]

up  l'errore persiste

simple_xml e' abilitato per default sotto php5. Ma non hai detto che ti visualizzava utente e password sotto il file xml?

[PetrizzelliGraphics]

up  l'errore persiste

simple_xml e' abilitato per default sotto php5. Ma non hai detto che ti visualizzava utente e password sotto il file xml?

quando testavo tutto sul serverino linux si...adesso i file ce li ho in rete in un sito e ricevo quel errore lì!mi sta ospitando altervista

[prampa]

up  l'errore persiste

simple_xml e' abilitato per default sotto php5. Ma non hai detto che ti visualizzava utente e password sotto il file xml?

quando testavo tutto sul serverino linux si...adesso i file ce li ho in rete in un sito e ricevo quel errore lì!mi sta ospitando altervista

forse non c'e' php5. Che versione c'e' su altervista? oppure leggiti utente e password da un normale file di testo, tanto è la stessa cosa.
ciao

[PetrizzelliGraphics]

up  l'errore persiste

simple_xml e' abilitato per default sotto php5. Ma non hai detto che ti visualizzava utente e password sotto il file xml?

quando testavo tutto sul serverino linux si...adesso i file ce li ho in rete in un sito e ricevo quel errore lì!mi sta ospitando altervista

forse non c'e' php5. Che versione c'e' su altervista? oppure leggiti utente e password da un normale file di testo, tanto è la stessa cosa.
ciao

adesso mi informo e ti faccio sapere...comunque come sicurezza...non è che la password e utente sono reperibili?

[PetrizzelliGraphics]

Perfetto!!!adesso va da Dio!mi sono dovuto leggere come attivare il php5 da altervista...ho dovuto fare una piccola modifica nei percorsi dei file...e adesso va bene...ma adesso come sicurezza la mia pagina web è sicura?
Dalle conoscenze che ho,se adesso metto su il mio sito web,possono vederlo ugualmente tutti giusto?come faccio a dire alle pagine "non puoi entrare se non metti la user e la password giusta"?

[Ptah]

E' abilitata come estensione nel php.ini vero?

[PetrizzelliGraphics]

E' abilitata come estensione nel php.ini vero?

wow!mi hai risposto una donna!strano ma vero!comunque scusa ma non ho capito...posso dirti che al momento il login iniziale funziona...adesso il problema è gestire le altre pagine web...se uno non fa il login deve rimanere in quella schermata...a login effettuato invece viene mostrato il sito

[Ptah]

ah ok.
Allora nulla, in ogni pagina fai un include (o un require once) che chiama una pagina dove controlli che siano settate le variabili di sessione, che appunto si impostano nella pagina di login

[PetrizzelliGraphics]

ah ok.
Allora nulla, in ogni pagina fai un include (o un require once) che chiama una pagina dove controlli che siano settate le variabili di sessione, che appunto si impostano nella pagina di login

ehm...scusa Ptah ma non so come si fa...uso il php da pochi mesi e so solo le basi

[prampa]

ah ok.
Allora nulla, in ogni pagina fai un include (o un require once) che chiama una pagina dove controlli che siano settate le variabili di sessione, che appunto si impostano nella pagina di login

ehm...scusa Ptah ma non so come si fa...uso il php da pochi mesi e so solo le basi

meno meno che ora va!!!!comunque o fai come ti dice ptah (ed è una soluzione piu' professionale), oppure, se ho capito bene, fai in modo che nel resto del sito tu ci acceda solamente dalla schermata di login, tanto per intenderci login_success.html sarà la pagina di ingresso per il sito, mentre main_login.php la pagina a cui si accede da un pulsante "entra in area riservata". Pero', no...ha ragione ptah. Perche' in questo modo chiunque copiando il link di una delle pagine successive puo' saltare la fase di autenticazione e fregarti. Per cose di questo tipo o utilizzi l'autenticazione di apache dicendogli tutte le pagine che dovranno essere protette, oppure imposti in sessione qualcosa e in ogni pagina (da html le dovrai trasformare in .php) includi un programma che verifica in sessione l'esistenza di quello che hai salvato. Se tu vedi nel software che hai scaricato esiste un session_start. Cerca nel sito o con google qualche esempio! oppure se ti incasini posta.....
ciao

[Ptah]

azz e già ti butti sulle variabili di sessione?? LOL
Sempre nella mia firma ci sono due link che mandano ai manuali di PHP, comincia a dare un'occhiata
Si tratta in sostanza di scrivere in ogni apgina che vuoi "protetta" una riga tipo:
require_once('fileControllo.php');
e poi nel file "fileControllo.php"
mettere qualcosa tipo:

Codice: Seleziona tutto

if (! isset($SESSION['myusername']) && ! isset($SESSION['mypassword'])) {
   $SESSION['autenticated'] = false;
} else {
   $SESSION['autenticated'] = true;
}

Successivamente, subito sotto la riga di require, metti:

Codice: Seleziona tutto

if (! $SESSION['autenticated']) {
   echo "Attenzione! Autenticazione fallita.\nSarete reindirizzati alla schermata di Log In";
   header("location:login_success.html;5");
}

La aprte di controllo la potresti mettere anche direttamente nel file di "controllo" ma se vuoi un controllo maggiore sugli errori possibili ti conviene lasciarla in ogni file ed eventualmente customizzarla.
Ci sono poi altri metodi per rendere ancora un po' più sicure le cose, ma per ora comincia così

[PetrizzelliGraphics]

azz e già ti butti sulle variabili di sessione?? LOL
Sempre nella mia firma ci sono due link che mandano ai manuali di PHP, comincia a dare un'occhiata
Si tratta in sostanza di scrivere in ogni apgina che vuoi "protetta" una riga tipo:
require_once('fileControllo.php');
e poi nel file "fileControllo.php"
mettere qualcosa tipo:

Codice: Seleziona tutto

if (! isset($SESSION['myusername']) && ! isset($SESSION['mypassword'])) {
   $SESSION['autenticated'] = false;
} else {
   $SESSION['autenticated'] = true;
}

Successivamente, subito sotto la riga di require, metti:

Codice: Seleziona tutto

if (! $SESSION['autenticated']) {
   echo "Attenzione! Autenticazione fallita.\nSarete reindirizzati alla schermata di Log In";
   header("location:login_success.html;5");
}

La aprte di controllo la potresti mettere anche direttamente nel file di "controllo" ma se vuoi un controllo maggiore sugli errori possibili ti conviene lasciarla in ogni file ed eventualmente customizzarla.
Ci sono poi altri metodi per rendere ancora un po' più sicure le cose, ma per ora comincia così

eh si...e pensa che ho bisogno questo fra una settimana...ahhaha comunque vediamo se ho capito....allora creo un file "fileControllo.php",che ovviamente salvo nel server dove ho la cosa attualmente.
Dopodichè in questo file metto,SOLO:

Codice: Seleziona tutto

if (! isset($SESSION['myusername']) && ! isset($SESSION['mypassword'])) {
   $SESSION['autenticated'] = false;
} else {
   $SESSION['autenticated'] = true;
}

ovviamente con all'inizio e alla fine.
Poi in ogni pagina metto:

Codice: Seleziona tutto

require_once('fileControllo.php');
if (! $SESSION['autenticated']) {
   echo "Attenzione! Autenticazione fallita.\nSarete reindirizzati alla schermata di Log In";
   header("location:login_success.html;5");
}

e qua iniziano le domande...se ho le pagine .html devo cambiarle in .php? se si,se modifico in forma "brutale" l'estensione,cioè rinomino il file e poi fra i tag "body" metto quello detto prima...dovrebbe funzionare tutto?

[Ptah]

Sì sì rinomina brutale e metti dove serve.
Se non ho fatto errori di sintassi dovrebbe funzionare

[PetrizzelliGraphics]

Sì sì rinomina brutale e metti dove serve.
Se non ho fatto errori di sintassi dovrebbe funzionare

c'è un piccolo problema...la gente riesce a trovare la password...è fatto male il login bisogna criptarlo o nascondere qualcosa 

[trumpeter]

ma...la gente riesce a trovare la password...è fatto male il login bisogna criptarlo o nascondere qualcosa 

puoi impostare il campo password su MD5 nel database (così ti cripta in md5 le pwd).
prima di controllare l'autenticità della pwd inserita la passi in md5
un esempio:

Codice: Seleziona tutto

$pwd_inserita=$_POST['pwd'];
$pwd_inserita=md5($pwd_inserita);
$query="SELECT * FROM users WHERE nick='".$_POST['username']."' AND pwd='$pwd_inserita' ";

eccetera eccetera

non è il massimo come soluzione ma è già qualcosina

a proposito: come fanno a trovarla la password?

gia che ci sono ti faccio un veloce esempio con md5 e autenticazione in una pagina

login.php

Codice: Seleziona tutto

<?php
//parte per utenti autenticati
if(@$_SESSION['aut']=="ok"){
print"benvenuto nell'amministrazione!";
}


else{
//parte per utenti non autenticati
//passaggio 1 - inserimento dati
if(!isset(@$_POST['step2'])){
print"Benvenuto! inserisci i tuoi dati!<br />
<form name="login" method="post" action="login.php"> 
<input type="text" name="usr">
<input type="password" name="pwd">";
//il campo hidden permette di non lavorare su variabili $_REQUEST
print"<input type="submit" value="Login">
</form>
";}
//passaggio 2 - autenticazione
else{
$pwd_inserita=$_POST['pwd'];
$pwd_inserita=md5($pwd_inserita);
$query="SELECT * FROM users WHERE nick='".$_POST['usr']."' AND pwd='$pwd_inserita' ";
$res=mysql_query($query,$db);
$n_r=mysql_num_rows($res);
if($n_r=="1"){$_SESSION['aut']=="ok";}else{print"i dati inseriti non sono corretti";}
header("location:login.php");}}

?>

per tutte le altre pagine di amministrazione ti basta utilizzare il formato

Codice: Seleziona tutto

<?php
//autenticazione ok
if($_SESSION['aut']=="ok"){print"contenuto_pagina";}

//no autenticazione
else{print"contenuto non accessibile.";}
?>

dimmi se ti può essere stato utile

[PetrizzelliGraphics]

ma...la gente riesce a trovare la password...è fatto male il login bisogna criptarlo o nascondere qualcosa 

puoi impostare il campo password su MD5 nel database (così ti cripta in md5 le pwd).
prima di controllare l'autenticità della pwd inserita la passi in md5
un esempio:

Codice: Seleziona tutto

$pwd_inserita=$_POST['pwd'];
$pwd_inserita=md5($pwd_inserita);
$query="SELECT * FROM users WHERE nick='".$_POST['username']."' AND pwd='$pwd_inserita' ";

eccetera eccetera

non è il massimo come soluzione ma è già qualcosina

a proposito: come fanno a trovarla la password?

non sto usando database...comunque si vede mentre si prova a mettere la password esce il nome del file

[trumpeter]

non sto usando database...comunque si vede mentre si prova a mettere la password esce il nome del file

in che senso? vedi la password nella barra indirizzi?

[PetrizzelliGraphics]

non sto usando database...comunque si vede mentre si prova a mettere la password esce il nome del file

in che senso? vedi la password nella barra indirizzi?

il file...e non si sa come hanno visto tutto!vabbè adesso sto criptando password e user

[trumpeter]

il file...e non si sa come hanno visto tutto!vabbè adesso sto criptando password e user

li salvi come variabili già criptate in md5, in maniera tale che, ammesso che riuscissero a leggere il file .php non sarebbero in grado di loggarsi, giacché devono inserirli non criptati nel form