Witam Serdecznie.
Potrzebuję Waszej pomocy. Mam problem ze stronę a w zasadzie z samym panelem administracyjnym do którego każdy może sobie wejść. Po wpisaniu adresu na którym dostępna jest strona czyli: www.db.mits.com.pl otwiera się od razu panel administracyjny z zalogowanym użytkownikiem a powinna się otwierać strona logowania. Wezmę wyloguj, wejdę ponownie pod podany wyżej adres i znowu jest to samo, jestem już zalogowany do panelu. Nie mam pojęcia co tu jest nie tak. Bardzo proszę o pomoc. Jeśli potrzebny jest jakiś kod to nie ma problemu. Z góry dziękuję.
Pozdrawiam.
0
0
Jeśli potrzebny jest jakiś kod to nie ma problemu
:|
Nie jesteśmy wróżkami, wrzuć ten kod...
Przy okazji, masz najprawdopodobniej SQL injection w wyborze gimnazjum/liceum/co tam jeszcze było podczas edycji wpisu.
0
Wrzucam kod z 2 plików bo to zapewne w którymś z nich jest coś nie halo.
ses_log.php
<?php
if ($_SESSION['login']!=session_id())
{
?>
<script language="javascript">
window.location.href = "login.php";
</script>
<?php
}
else
{
function dostep ($modul)
{
$level = mysql_fetch_assoc(mysql_query('SELECT * FROM MODUL
WHERE MODUL.NAZWA="'.$modul.'"
AND MODUL.ID_LEVEL="'.$_SESSION['level'].'";'));
if ($level['DOSTEP']=='1')
{
$dostep = 1;
}
else
{
$dostep = 0;
}
return $dostep;
}
}
?>
logsuccess.php
<?php
require ('include/baza.php');
if ($_GET['logout']==1)
{
?>
<script language="javascript">
window.location.href = "login.php";
</script>
<?php
}
if ((isset($_POST['tbLogin'])) && (isset($_POST['tbPass'])))
{
$query_login=mysql_query('SELECT USER.*, LEVEL.NAZWA_LEVEL FROM USER, LEVEL WHERE USER.ID_LEVEL=LEVEL.ID_LEVEL AND USER.LOGIN="'.$_POST['tbLogin'].'";');
$user_login=mysql_fetch_assoc($query_login);
$pass=sha1(md5($_POST['tbPass']));
if ($user_login['PASS']==$pass)
{
$_SESSION['login']=session_id();
$_SESSION['id']=$user_login['ID_USER'];
$_SESSION['nazwisko']=$user_login['IMIE'].' '.$user_login['NAZWISKO'];
$_SESSION['level']=$user_login['ID_LEVEL'];
$_SESSION['level_nazwa']=$user_login['NAZWA_LEVEL'];
?>
<script language="javascript">
window.location.href = "index.php";
</script>
<?php
}
else {
?>
<script language="javascript">
window.location.href = "login.php";
</script>
<?php
}
}
else {
?>
<script language="javascript">
window.location.href = "login.php";
</script>
<?php
}
?>
0
$query_login=mysql_query('SELECT USER.*, LEVEL.NAZWA_LEVEL FROM USER, LEVEL WHERE USER.ID_LEVEL=LEVEL.ID_LEVEL AND USER.LOGIN="'.$_POST['tbLogin'].'";');
1.SQL injection (chyba, że jakoś to $_POST filtrujesz gdzieś wcześniej).
2.mysql_query -
http://www.php.net/mysql_query napisał(a)
This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used. See also MySQL: choosing an API guide and related FAQ for more information. Alternatives to this function include:
0
Ej ty to coś sam pisałeś czy jak ?
ses_log.php
<script language="javascript">
window.location.href = "login.php";
</script>
boże wyłączam obsługę JavaScript i w dupie mam twoje przekierowanie xD
0
Najśmieszniejsze jest to że pisała to firma która się ponoć specjalizuje w tworzeniu aplikacji webowych i wzięła za to 400zł.