طلب من مبرمجي السيشن ارجو المساعدة

[محمدهلال]

انا بستخدم نضام القوالب سمارتي وعامل فورم ستجيل الدخول وعامل فورم التسجيل سجيل بي فورم التسجيل وقلت اجرب ادخل مل ما اخش يقول اسم الدخول اوكلمة السير غلط ده فارجو المساعد قبل ان تعدل الكود اشرح لية الكود المتعد ارجو زالك وشكرااااااااااااااااا
صفحة الفورم

كود PHP:

<table width="100%" border="0">
  <tr>
    <td><form name="form1" method="post" action="login.php" dir="rtl">
      <table width="100%" border="0">
        <tr>
          <td width="15%">user</td>
          <td width="85%"><label>
            <input type="text" name="T1" id="T1">
          </label></td>
        </tr>
        <tr>
          <td>pass</td>
          <td><label>
            <input type="password" name="T2" id="T2">
          </label></td>
        </tr>
        <tr>
          <td>&nbsp;</td>
          <td><label>دخول
              <input type="submit" name="B" id="B" value="Submit">
          </label></td>
        </tr>
      </table>
        </form>
    </td>
  </tr>
  <tr>
    <td>&nbsp;</td>
  </tr>
</table> 


ودية صفحة الاسعلام ازي كان الاسم مطابق للي في قاعدة البيانات
login.php

كود PHP:

<?php
include("includes/config.php");
$user=$_POST['T1'];
$pass=$_POST['T2'];

$sql="SELECT * FROM member WHERE username='".$user."' and password='".$pass."'";
$result=mysql_query($sql);

$count=mysql_num_rows($result);
if(isst($user==$username && $pass==$password)){
$_SESSION['T1']=$username;
echo"<META HTTP-EQUIV=\"REFRESH\" CONTENT=\"3;URL=index.php\">\n";
}
else {
echo "كلمة المرور او الأسم خطأ";
echo"<META HTTP-EQUIV=\"REFRESH\" CONTENT=\"3;URL=index.php\">\n";
}
?>

وشكراااااااااااااااااااااااااااااااااااا

[Foxhound]

لازم تكتب

كود PHP:

session_start(); 


لأنه لايمكن تبدأ الجلسة انت ما فتحتها ليلحين

على فكرة المتغير $user و $pass انت مو مسويلهم حماية وممكن اختراق موقعك عن طريق SQL Injection (اقرا عنها تلقى عدة مواضيع مكتوبة بسوالف سوفت وغيره)

وشي ثاني لازم تسجل أكثر من متغير في الجلسة، مو بس $username لأنها ممكن أدخل بعضوية أي شخص بدون اني اعرف كلمة المرور عن تغيير إضافة الجلسة يدويا بدون تسجيل دخول
يعني لازم انك تحط $username وفوق هذا كلمة المرور (المشفرة طبعا) ويتم التحقق منها في كل تحميل للصفحة

[محمدهلال]

لازم تكتب

كود PHP:

session_start(); 


لأنه لايمكن تبدأ الجلسة انت ما فتحتها ليلحين

على فكرة المتغير $user و $pass انت مو مسويلهم حماية وممكن اختراق موقعك عن طريق SQL Injection (اقرا عنها تلقى عدة مواضيع مكتوبة بسوالف سوفت وغيره)

وشي ثاني لازم تسجل أكثر من متغير في الجلسة، مو بس $username لأنها ممكن أدخل بعضوية أي شخص بدون اني اعرف كلمة المرور عن تغيير إضافة الجلسة يدويا بدون تسجيل دخول
يعني لازم انك تحط $username وفوق هذا كلمة المرور (المشفرة طبعا) ويتم التحقق منها في كل تحميل للصفحة

منكن اخي الكريم Foxhound تشرحة لية بعد ازنك اصلي مبيدئ فية وشكراااااااا لك

[Foxhound]

اكتبها تحت الـ

كود PHP:

include("includes/config.php"); 


تكون كفيت ووفيت

ملاحظة: لازم ما يكون فيه أي مخرجات قبل ما تستخدم السيشن (ونفس الشيء ينطبق على الكوكيز وال headers، لازم مايكون فيه أي مخرجات قبلهم)

المخرجات اي شيء ينطبع على الصفحة (حتى لو مسافة فقط)، مثل echo أو أخطاء ال php أو ملف محفوظ بـ UTF+BOM

[EbNCaNa]

اخوي Foxhound شو قصدك بانك ممكن تسجل جلسة يدويا ؟؟ وبرايك اذا شفرنا كلمة المرور وعملنا تحقق بكل صفحة هذا كافي ؟؟؟ وحتى لو شفرنا كلمة المرور بالاخر الجلسة رح تكون باسم العضو او بأي اسم جلسة نحنا نختاره ... يعني ما في رابط بين تشفير كلمة المرور وبين اختراق الموقع عن طريق sql injection الا اذا كنت تقصد انو نسجل الجلسة باسم كلمة المرور المشفرة ... هيك بكون في رابط مباشر ومؤثر جدا .

شو رايك ؟

[محمدهلال]

اكتبها تحت الـ

كود PHP:

include("includes/config.php"); 


تكون كفيت ووفيت

ملاحظة: لازم ما يكون فيه أي مخرجات قبل ما تستخدم السيشن (ونفس الشيء ينطبق على الكوكيز وال headers، لازم مايكون فيه أي مخرجات قبلهم)

المخرجات اي شيء ينطبع على الصفحة (حتى لو مسافة فقط)، مثل echo أو أخطاء ال php أو ملف محفوظ بـ UTF+BOM

اخي الكريم انا عملت الي قولت علي بس بردك نفس الخطاء ارجو منك ان تفهمني ازي استخدمة لعمل ملف تسجيل الدخول وازي اخلية في كل صفحة يتحقق اذا كان المستخدم مطابق زي ما في القاعدة ام لا

وشكراااااااااااااااا لردك الكريم ورمضان كريم عليكم كلكم

[Foxhound]

اخي الكريم انا عملت الي قولت علي بس بردك نفس الخطاء ارجو منك ان تفهمني ازي استخدمة لعمل ملف تسجيل الدخول وازي اخلية في كل صفحة يتحقق اذا كان المستخدم مطابق زي ما في القاعدة ام لا

وشكراااااااااااااااا لردك الكريم ورمضان كريم عليكم كلكم

افتح الفايرفوكس ونزل عليه إضافة Firebug ، وافتحه وروح عند الcookies وتأكد هل الجلسة مسجلة ولا لا (الجلسات تلقاها مع الكوكيز فلا تحتار)

اخوي Foxhound شو قصدك بانك ممكن تسجل جلسة يدويا ؟؟

اضافة جلسة يدويا عن طريق Firebug أو اي اداه مثلها، افتح Firebug وادخل على cookies واختار Create Cookie واجعلها session ، بهالطريقة تكون اضفت جلسة يدويا
في المثال الي حطه اخونا هو فقط يضيف الجلسة باسم العضو، بدون كلمة مرور أو أي شيء ثاني، بهالطريقة اروح اضيف جلسة يدويا واكتب اسم العضو اللي ابغى ادخل باسمه، واكون دخلت باسمه بدون أي عناء
لو تفتح ال firebug على سوالف سوفت أو اي منتدى vB تلقا جلسة باسم sessionhash وهي نص مشفر ولا يمكن ان يحصل اي زائر/عضو على نفس ال sessionhash ، فيقوم بجلب معلومات الزائر من قاعدة البيانات حسب ال sessionhash من جدول ال session إلخ..

وبرايك اذا شفرنا كلمة المرور وعملنا تحقق بكل صفحة هذا كافي ؟؟؟

تسجل جلسة لاسم العضو جلسة لكلمة المرور وتتحقق في كل صفحة من صحة البيانات؟ أكيد كافي

وحتى لو شفرنا كلمة المرور بالاخر الجلسة رح تكون باسم العضو او بأي اسم جلسة نحنا نختاره ...

ما فهمتك

يعني ما في رابط بين تشفير كلمة المرور وبين اختراق الموقع عن طريق sql injection الا اذا كنت تقصد انو نسجل الجلسة باسم كلمة المرور المشفرة ... هيك بكون في رابط مباشر ومؤثر جدا .

انا لما تكلمت عن SQL Injection كان قصدي عن البيانات المدخلة من نموذج تسجيل الدخول، لأنه ماعمل أي تصفية/فلترة للمدخلات
أما الجلسة اليدوية مالها دخل بال SQL Injection في المثال المذكور ولكن لو تقوم بادخال الجلسات لإستعلامات قاعدة البيانات مباشرة (بدون تصفية) تكون عرضت نفسك للخطر

إذا تبي تحمي سكربتك من الخطر، لا تثق بأي نوع من المدخلات يجي من الزائر، على سبيل المثال: الكوكيز، الجلسات، مدخلات النماذج، حتى ال headers بنخاف عليها

الظاهر اني طولت في الكتابة، اتمنى اكون افدتك

[محمدهلال]

افتح الفايرفوكس ونزل عليه إضافة Firebug ، وافتحه وروح عند الcookies وتأكد هل الجلسة مسجلة ولا لا (الجلسات تلقاها مع الكوكيز فلا تحتار)

اضافة جلسة يدويا عن طريق Firebug أو اي اداه مثلها، افتح Firebug وادخل على cookies واختار Create Cookie واجعلها session ، بهالطريقة تكون اضفت جلسة يدويا
في المثال الي حطه اخونا هو فقط يضيف الجلسة باسم العضو، بدون كلمة مرور أو أي شيء ثاني، بهالطريقة اروح اضيف جلسة يدويا واكتب اسم العضو اللي ابغى ادخل باسمه، واكون دخلت باسمه بدون أي عناء
لو تفتح ال firebug على سوالف سوفت أو اي منتدى vB تلقا جلسة باسم sessionhash وهي نص مشفر ولا يمكن ان يحصل اي زائر/عضو على نفس ال sessionhash ، فيقوم بجلب معلومات الزائر من قاعدة البيانات حسب ال sessionhash من جدول ال session إلخ..

تسجل جلسة لاسم العضو جلسة لكلمة المرور وتتحقق في كل صفحة من صحة البيانات؟ أكيد كافي

ما فهمتك

انا لما تكلمت عن SQL Injection كان قصدي عن البيانات المدخلة من نموذج تسجيل الدخول، لأنه ماعمل أي تصفية/فلترة للمدخلات
أما الجلسة اليدوية مالها دخل بال SQL Injection في المثال المذكور ولكن لو تقوم بادخال الجلسات لإستعلامات قاعدة البيانات مباشرة (بدون تصفية) تكون عرضت نفسك للخطر

إذا تبي تحمي سكربتك من الخطر، لا تثق بأي نوع من المدخلات يجي من الزائر، على سبيل المثال: الكوكيز، الجلسات، مدخلات النماذج، حتى ال headers بنخاف عليها

الظاهر اني طولت في الكتابة، اتمنى اكون افدتك

اخي الكريم Foxhound منكن تعمل درس عن السيشن وتفهم هلنا بعد اذنك طبعا ارجو منك ذلك
لاني حولت افهم السيشن وكل ما افهم شئ منه انسة تاني فارجو منك عمل درس كامل عنة تساعدنة فية
وكيفيى استخدامة بس ارجو منك لو وافقت تعمل باسلوب مبسط اني افهمة وكلنا نفهة نحن المبتدئين

وشكراااااااااااا لك وارجو منك الرد وجزاك لله خيرااااااااااااااااا


ملحظة : اخي الكريم Foxhound اذا انشاء لله حبية تعمل فارجو منك ان تعملة بضمير ويكون باختيارك لان مفيش حد يخصب عليك وشكراا

[Foxhound]

مافيه شي لأشرحه وانا اخوك
راجع الكود لصفحة login.php
انت ارسلت استعلام لقاعدة البيانات لكن ما سويت شي فيه

كود PHP:

$sql="SELECT * FROM member WHERE username='".$user."' and password='".$pass."'";
$result=mysql_query($sql);

$count=mysql_num_rows($result); 


ووراها استعملت if بدون ما تستخرج المعلومات من القاعدة

المهم هذا الكود معدل وحطيت علامة عند السطور لأسهل عليك المقارنة وتعرف وين أخطأت

كود PHP:

<?php

include("includes/config.php");
session_start(); ##########

$user = $_POST['T1'];
$pass = $_POST['T2'];

$query = mysql_query("SELECT * FROM member WHERE username = '" . $user . "' AND password = '" . $pass . "'");
$result = mysql_fetch_assoc($query); #########

if($user == $result['username'] && $pass == $result['password']) { ##########
    
    $_SESSION['T1'] = $result['username']; #########
    
} else {
    
    echo "كلمة المرور او الأسم خطأ";
    
}

echo '<META HTTP-EQUIV="REFRESH" CONTENT="3;URL=index.php">';

?>

واسمحلي اني ما كتبت شرح للجلسات لأني سيء وطويل في الشرح

[محمدهلال]

مافيه شي لأشرحه وانا اخوك
راجع الكود لصفحة login.php
انت ارسلت استعلام لقاعدة البيانات لكن ما سويت شي فيه

كود PHP:

$sql="SELECT * FROM member WHERE username='".$user."' and password='".$pass."'";
$result=mysql_query($sql);

$count=mysql_num_rows($result); 


ووراها استعملت if بدون ما تستخرج المعلومات من القاعدة

المهم هذا الكود معدل وحطيت علامة عند السطور لأسهل عليك المقارنة وتعرف وين أخطأت

كود PHP:

<?php

include("includes/config.php");
session_start(); ##########

$user = $_POST['T1'];
$pass = $_POST['T2'];

$query = mysql_query("SELECT * FROM member WHERE username = '" . $user . "' AND password = '" . $pass . "'");
$result = mysql_fetch_assoc($query); #########

if($user == $result['username'] && $pass == $result['password']) { ##########
    
    $_SESSION['T1'] = $result['username']; #########
    
} else {
    
    echo "كلمة المرور او الأسم خطأ";
    
}

echo '<META HTTP-EQUIV="REFRESH" CONTENT="3;URL=index.php">';

?>

واسمحلي اني ما كتبت شرح للجلسات لأني سيء وطويل في الشرح

شكرا ليك اخي الكريم Foxhound علي التعديل وهجرب وهقول لك اصلي بستخدم قوالب سمارتي اخي ما معني الكود ه او فيدة

كود PHP:

$result = mysql_fetch_assoc($query); 


و ما هو الفرق بينة وبين الكود ده

كود PHP:

$c=mysql_num_rows 


او الكود ده

كود PHP:

$c=mysql_fetch_array 


ارجو منك ان تكتب الفرق وما هي استخدامهم
شكرا وشكراااااااااااا لك اخي
ورجو منك بعد اذنك ان تضع بعد الدوال للسيشن وتشرح علي قد ما تقدر وشكرااااااااااااااااااااا جداااااااااااااااا

اخي جربت ومنفعش وهرفع السكريبت هو سيكربت بسيط لسة بتعلم علية هتلقي فية قوالب بصميمة بس ليسة مركبتهاش شوف بس انت متاع الوجن قولي بعد اذنك

وده الرابط
zSHARE - m.rar

[Foxhound]

افترض انه فيه جدول وله اعمدة كالتالي : id,name,password
لما نخرج المعلومات منها:
ال mysql_fetch_row يعطي القيم داخل الدالة لكن المفاتيح لها أرقام
ال mysql_fetch_assoc يعطي القيم ولكن المفاتيح بنفس اسم عامود قاعدة البيانات
ال mysql_fetch_array يعطي القيم بمفاتيح رقمية ومفاتيح باسماء العواميد
طبعا هالشيء تعلمته في سوالف سوفت، أسرعهم row وابطأهم array

مثال:

كود:

mysql_fetch_row:
$row[0] = id here
$row[1] = name here
$row[2] = password here

mysql_fetch_array:
$row[0] = id here
$row['id'] = id here
$row[1] = name here
$row['name'] = name here
$row[2] = password here
$row['password'] = password here

mysql_fetch_assoc:
$row['id'] = id here
$row['name'] = name here
$row['password'] = password here

بخصوص المشكلة هل مايزال يقولك كلمة المرور غير صحيحة ؟ تأكد من قاعدة البيانات ومن وجود العضو إلخ

أم ان المشكلة بالسيشن ؟
اكتب var_dump($_SESSION); وشوف موجودة ولا لا

[محمدهلال]

افترض انه فيه جدول وله اعمدة كالتالي : id,name,password
لما نخرج المعلومات منها:
ال mysql_fetch_row يعطي القيم داخل الدالة لكن المفاتيح لها أرقام
ال mysql_fetch_assoc يعطي القيم ولكن المفاتيح بنفس اسم عامود قاعدة البيانات
ال mysql_fetch_array يعطي القيم بمفاتيح رقمية ومفاتيح باسماء العواميد
طبعا هالشيء تعلمته في سوالف سوفت، أسرعهم row وابطأهم array

مثال:

كود:

mysql_fetch_row:
$row[0] = id here
$row[1] = name here
$row[2] = password here

mysql_fetch_array:
$row[0] = id here
$row['id'] = id here
$row[1] = name here
$row['name'] = name here
$row[2] = password here
$row['password'] = password here

mysql_fetch_assoc:
$row['id'] = id here
$row['name'] = name here
$row['password'] = password here

بخصوص المشكلة هل مايزال يقولك كلمة المرور غير صحيحة ؟ تأكد من قاعدة البيانات ومن وجود العضو إلخ

أم ان المشكلة بالسيشن ؟
اكتب var_dump($_SESSION); وشوف موجودة ولا لا

اه اخي الكريم بقولي كلمة المرور او الاسم خطاء
ده الملف بعد ما عملت الي انت قولت علية

ورجوك اشرحلي الدول ده براحة وحدة وحدة لاني مبتدئ
وشكراااااااااااااااا

كود PHP:

<?php

include("includes/config.php");
session_start(); ##########

$user = trim($_POST['T1']);
$pass = md5(trim($_POST['T2']));

$query = mysql_query("SELECT * FROM member WHERE username = '" . $user . "' AND password = '" . $pass . "'");
$result = mysql_fetch_assoc($query); #########

if($user == $result['username'] && $pass == $result['password']) { ##########
    
    $_SESSION['T1'] = $result['username']; #########
    
} else {
    
    echo "كلمة المرور او الأسم خطأ";
    
}

echo '<META HTTP-EQUIV="REFRESH" CONTENT="3;URL=index.php">';

?>

قومة بتشفير البسورد

[Foxhound]

ما اشوف فيه مشكلة، ممكن قاعدة البيانات ؟

[محمدهلال]

اخي الكريم Foxhound نجحة الاستعلام بس لمي يزهب الي الصفحة الرئيسية انديكس القي الفورم متاع ادخال الاعضاء موجود ازي اخفية عند تسجيل دخول العضو وشكرااااااااااااااااااااااااااااااااا ليك

[EbNCaNa]

اخوي Foxhound نفرض اني مخزن اليوزر والباس بملف وما بدي اعمل مقارانة الكلمات عن طريق الداتا بس ... وعملت شرط php عادي يقارن اذا كانت المدخلات تتطابق مع اليوزر والباس المخزن بالملف بمقياس md5 .

اذا تحقق الشرط يصبح التالي :

كود PHP:

session_register('admin');
Ref("sections.php"); // رئيسية لوحة التحكم
Exit; 


اما اذا لم يتحقق :

كود PHP:

echo'<script language="javascript">
alert (" الرجاء التأكد من قيامك بأدخال المعطيات الصحيحة لاسم المستخدم او كلمة المرور ");
</script>';
Ref("javascript:history.back()"); 


وطبعا بكل صفحة في فحص كالتالي :

كود PHP:

if(!session_is_registered('admin')){
echo = "من فضلك قم بتسجيل الدخول اولا";
Ref("index.php");
Exit;
} 


هل في خلل في هذه العملية ؟؟ يعني هون بتقدر تعمل جلسة فقط اذا عرفت اسم الجلسة الي انا سجلتها ... يا ريت تدلني اذا كنت بحاجة لأمور اخرى عشان يكون نظام الحماية كامل .

ملاحظة : لا استعمل كوكيز ابدا .


مشكور سلف اخوي وبتمنى انك تكتب موضوع كامل عن الجلسات اذا كانت لديك الخبرة الكافية لانو في نقص هناك وبكثير مواقع عربية بخصوص هالموضوع .

الى الامام .