PHP] HELP Login

[mummolo]

Quote:

Originariamente inviato da andbin

Sì, esatto. Il concetto è che devi avere un "qualcosa" che imposti in un certo modo solo quando si è loggati. Dopodiché testi quel "qualcosa" per stabilire se si è loggati o meno. E in genere appunto è una variabile di sessione.

Poi come gestire il rimando al login, dipende molto da come è strutturato il sito. Mi spiego meglio: se si ha una unica pagina apposita per il login, allora è abbastanza logico reindirizzare a quella pagina se non si è loggati.
Se invece il modulo di login è incorporato in ogni pagina (ad esempio nell'header) come in certi siti di e-commerce, allora non devi fare alcun rimando ma semplicemente inviare la pagina in cui in quell'area ci sarà o il modulo di login o un qualcosa ad esempio del tipo "Benvenuto XYZ" con un pulsante di logout se si è loggati.

Insomma ... per fare la gestione di un login non c'è uno standard preciso, dipende da molti fattori: la struttura del sito, l'interazione tra le varie pagine, ecc...

Scusa una domanda!
Ma come faccio a passare il valore $_SESSION['LOGGATO'] dalla pagina di autenticazione allo script che vigila sulle pagine???
Inoltre come faccio ad impostare una variabile $_SESSION['NON_LOGGATO'] nella pagina che voglio proteggere la pagina da evetuali accessi?
Mi spiego meglio... se volessi far accedere alla pagina a.html solo un utente loggato,affinche altri non entrino in questa pagina cosa dovrei fare?Impostare $_SESSION['NON_LOGGATO'] nella pagine a.html ed inserire successivamente a tale istruzione la require dello script di controllo??Se cosi fosse,php,quando riceve una chiamata di un utente loggato riesce a sovrascrivere questa variabile?

[andbin]

Quote:

Originariamente inviato da mummolo

Scusa una domanda!
Ma come faccio a passare il valore $_SESSION['LOGGATO'] dalla pagina di autenticazione allo script che vigila sulle pagine???
Inoltre come faccio ad impostare una variabile $_SESSION['NON_LOGGATO'] nella pagina che voglio proteggere la pagina da evetuali accessi?
Mi spiego meglio... se volessi far accedere alla pagina a.html solo un utente loggato,affinche altri non entrino in questa pagina cosa dovrei fare?Impostare $_SESSION['NON_LOGGATO'] nella pagine a.html ed inserire successivamente a tale istruzione la require dello script di controllo??Se cosi fosse,php,quando riceve una chiamata di un utente loggato riesce a sovrascrivere questa variabile?

No alt ... fai un po' di confusione.

Innanzitutto una gestione del genere vale solo per le pagine .php e solo per quelle in cui fai appunto tutti questi test. Pagine chiamate xyz.html non c'entrano nulla e non possono "entrare" nel giro di questa autenticazione.

Poi comunque dovresti capire meglio come funzionano le sessioni (vedi <qui>).

Quando in uno script usi session_start(), al primo accesso (da parte del browser) viene generato un 'id' di sessione che viene inviato al browser (in genere tramite i cookie). Quando, con la stessa finestra del browser, si naviga in altre pagine del sito, la session_start() riprende l'id di sessione e quindi "riesuma" tutti i dati di sessione (quelli che poi ti ritrovi nell'array $_SESSION).

[mummolo]

Ho capito!!
Scusa ma visto che con l'html non è possibile fare questo discorso,se io rinominassi le pagine (ormai già create) in .php va bene tutto quello detto fin ora??

[andbin]

Quote:

Originariamente inviato da mummolo

Scusa ma visto che con l'html non è possibile fare questo discorso,se io rinominassi le pagine (ormai già create) in .php va bene tutto quello detto fin ora??

Dovresti comunque aggiungere ad ogni pagina la gestione di questa autenticazione, ovvero dovresti fare, come minimo, un include di uno script dove c'è la session_start() più tutti i vari test.

[mummolo]

ho provato a dare uno sguardo alla guida consigliata ma non ci ho capito nulla!!

[mummolo]

Quote:

Originariamente inviato da andbin

Dovresti comunque aggiungere ad ogni pagina la gestione di questa autenticazione, ovvero dovresti fare, come minimo, un include di uno script dove c'è la session_start() più tutti i vari test.

No,questo problema non sorge perche tanto l'autenticazione è possibile solo sulla index

Per meglio comprenderci ti posto gli script:

<-- file script_modificato.php -->

if (!isset ($_SESSION['LOGGATO']))
{
header ("Location: prova.php");
exit;
}
else {
header ("Location: index_prova.php");
exit;
}
?>

<-- fine file --->

<-- autenticazione --->

$result = mysql_query("SELECT * FROM 'tabella' WHERE username='$_REQUEST[username]' AND passwd='$_REQUEST[passwd]';", $link);
$numero = mysql_num_rows($result);
if ($numero==1){
require "script_modificato.php";
mysql_close($link) or die (errore());
}
else if ($numero==0){
require "script_modificato.php";
mysql_close($link) or die (errore());
}

<--- fine autenticazione --->

<--- pagina di prova -->
<html>
<body>
<? require "script_modificato.php" ?>
<p>ciao</p>
</body>
</html>

<-- fine pagina prova --->


Ovviamente non mi funziona!!!

[andbin]

Quote:

Originariamente inviato da mummolo

No,questo problema non sorge perche tanto l'autenticazione è possibile solo sulla index

Per meglio comprenderci ti posto gli script:
[...]

Innanzitutto non vedo l'utilizzo di session_start() poi non c'è una impostazione della variabile $_SESSION['LOGGATO'].

Faccio un breve riassunto:

a) Se vuoi usare le sessioni, in ogni script eseguito ci deve essere all'inizio una session_start().

b) In ogni pagina che vuoi proteggere ci deve essere il test per stabilire se si è loggati o meno. Ovviamente non è buona cosa replicare su tutte le pagine il test, quindi basta includere uno script apposito.

c) Lo script che si occupa di prendere i dati dal form di login per poi verificare se sono validi, dovrà impostare la variabile di sessione che hai scelto di usare nel caso di login corretto.
Basterebbe una cosa del tipo:
$_SESSION['LOGGATO'] = "1";

poi tanto nel test puoi usare isset(). Cioè o la variabile c'è (loggato) oppure non c'è.


Tieni anche presente un'altra cosa: dovrai pur indicare sulle pagine che l'utente è loggato e che può uscire tramite un pulsante o un link, giusto? Questo significa che pure il corpo delle pagine dovrebbe essere modificato in modo da visualizzare lo stato.

[mummolo]

Quote:

Originariamente inviato da andbin

Innanzitutto non vedo l'utilizzo di session_start() poi non c'è una impostazione della variabile $_SESSION['LOGGATO'].
a) Se vuoi usare le sessioni, in ogni script eseguito ci deve essere all'inizio una session_start().

Scusa vuol dire che, nell'esempio che ti ho postato,nella pagina index deve essere presente la riga:
<?php session_start(); ?>

Quote:

b) In ogni pagina che vuoi proteggere ci deve essere il test per stabilire se si è loggati o meno. Ovviamente non è buona cosa replicare su tutte le pagine il test, quindi basta includere uno script apposito.

Scusa se controlli meglio questa istruzione è presente in tutte le pagine con l'istruzione <? require "script_modificato.php" ?>

Quote:

c) Lo script che si occupa di prendere i dati dal form di login per poi verificare se sono validi, dovrà impostare la variabile di sessione che hai scelto di usare nel caso di login corretto.
Basterebbe una cosa del tipo:
$_SESSION['LOGGATO'] = "1";

Ma la dichiarazione di $_SESSION['LOGGATO'] = "1"; deve essere presente in tutte le pagine (es. in index.php ed in prova.php)???

Per favore potresti farmi un esempio banale come ti ho postato io per capirci meglio?
Grazie ancora

[andbin]

Quote:

Originariamente inviato da mummolo

Scusa vuol dire che, nell'esempio che ti ho postato,nella pagina index deve essere presente la riga:
<?php session_start(); ?>

In tutte le pagine in cui vuoi usare le sessioni!

Quote:

Originariamente inviato da mummolo

Scusa se controlli meglio questa istruzione è presente in tutte le pagine con l'istruzione <? require "script_modificato.php" ?>

Attenzione, perché l'invio di un header con la funzione header() va fatto prima di aver mandato in output qualunque cosa della pagina. Quindi non va bene, nel tuo caso, mandare in output <html><body> e poi includere lo script dove usi la header().
Ricordati, nemmeno 1 byte va mandato in output prima di usare header().

Quote:

Originariamente inviato da mummolo

Ma la dichiarazione di $_SESSION['LOGGATO'] = "1"; deve essere presente in tutte le pagine (es. in index.php ed in prova.php)???

No, devi impostarlo solo quando l'autenticazione ha successo, cioè solo dopo che hai verificato, grazie al db, che nome/password sono corretti.

Quote:

Originariamente inviato da mummolo

Per favore potresti farmi un esempio banale come ti ho postato io per capirci meglio?

Allego un esempio completo ma minimale (non stare a vedere le finezze). I file devono stare sotto la "root" di un sito.

[mummolo]

Grazie ancora per la disponibilità!
Sto analizzando il codice che mi hai spedito...
Nel file login quando inizializzi il form scrivi questa istruzione:
<form action="<?php echo $_SERVER["PHP_SELF"]; ?>" method="post">
Se non erro la action passa i dati da inviare giusto?
In questo caso che vuol dire <?php echo $_SERVER["PHP_SELF"]; ?>

[andbin]

Quote:

Originariamente inviato da mummolo

Grazie ancora per la disponibilità!
Sto analizzando il codice che mi hai spedito...
Nel file login quando inizializzi il form scrivi questa istruzione:
<form action="<?php echo $_SERVER["PHP_SELF"]; ?>" method="post">
Se non erro la action passa i dati da inviare giusto?
In questo caso che vuol dire <?php echo $_SERVER["PHP_SELF"]; ?>

La variabile $_SERVER["PHP_SELF"] contiene il nome dello script in esecuzione, specificato con un path relativo alla document root.