Sesje lub ciasteczka przy logowaniu

[BlackHat]

Witam!

Mój problem pojawia się w pewnym skrypcie który napisał mi znajomy (sam niestety nie znam się na tym najlepiej, a on wyjechał) dotyczący logowania:

<?

mysql_connect("xxxxxxx","xxxxxxxxx","xxxxxxxxxx");
mysql_select_db (xxxxxxxxx);

$zapytanie="SELECT * FROM `ibf_members` WHERE `name`='".$_POST['login']."' AND `legacy_password`='".md5($_POST['haslo'])."'";
$wynik = mysql_query($zapytanie);
$wiersz=mysql_fetch_array ($wynik);
if (mysql_num_rows($wynik)=="1" AND $wiersz['mgroup']=="4" )
{
TRESC PO ZALOGOWANIU
} 
else 
{ 
echo "<form method='post' name='n' enctype='multipart/form-data' action='index.php'>
Login: <input type='text' name='login'><br /><br />
Haslo: <input type='password' name='haslo'><br /><br />
<input type='submit' value='ENTER'>
</form>"; }

?>

Otóz osoba X po wpisaniu swojego nicka i passa oraz po sprawdzeniu czy pasuje do tego zapisanego w bazie danych loguje sie i wyswietlona jej jest tresc dla osob zalogowanych z wieloma innymi odnosnikami .... jednak...

nie mam zielonego pojecia co zrobic aby osoba ta nie musiala sie logowac za kazdym razem jak wchodzi na kolejne wygenerowane podstrony pliku index.php np.

index.php?dir=Katalog1/

dowiedziałem się już że można to zrobić za pomocą ciasteczek:

<?php
setcookie ("xxxxxx", $value,time()+3600);
?>

Niestety nie wiem gdzie i jak to wstawić w tym skrypcie...

A może jest jakiś inny sposób?

Prosze o pomoc!

[qwertyuiop]

<?
{
//TRESC PO ZALOGOWANIU - tu wstaw kod
}

setcookie -- Wysyła ciasteczko

[BlackHat]

mam tak:

if (mysql_num_rows($wynik)=="1" AND $wiersz['mgroup']=="4" )
{
setcookie ("xxxxxx", $value,time()+3600);

TRESC PO ZALOGOWANIU
}

i nadal nie działa :/

Tresc po zalogowaniu to skrypt indeksujacy... wiec loguje sie na index.php widze zawartosc root foldera - OK, klikam w katalog np. TEST czyli

index.php?dir=TEST/

i znow mi sie kaze logowac

HELP!!

[MMP]

if ( ( mysql_num_rows($wynik)=="1" AND $wiersz['mgroup']=="4" ) OR $_COOKIE[ 'xxx' ] )

{

setcookie ("xxx", 1,time()+3600);

TRESC PO ZALOGOWANIU

}

Działać będzie, ale bezpieczne to nie jest. Wystarczy wykraść ciasteczko o nazwie xxx od jakiegoś zalogowanego usera.

[BlackHat]

a mozna to jakos zabezpieczyc? jakis inny sposob? mimo to wieeeeeeeelkie dzieki (o ile działa , sprwdze wieczorem)

EDIT: ok działa wielkie dzięki!! Ale jezeli macie jakis bezpieczniejszy sposób to pochwalcie się

[BlackHat]

jeszcze jeden post sorry ale zeby bylo czytelniej:

if ( ( mysql_num_rows($wynik)=="1" AND ($wiersz['mgroup']=="4"  or $wiersz['mgroup']=="6" or $wiersz['mgroup']=="7" or $wiersz['mgroup']=="8" or $wiersz['mgroup']=="12" ) ) or $_COOKIE[ 'xxxx' ] )

mam ten kod - wyglada ok, ale... nie wiem czemu ale z ok 150 userow ktorzy moga sie tam zalogowac bo spelniaja warunki tylko ja jako Administrator Forum (bo to jest podpiete pod baze danych forum) moge sie logowac :/ ktos widzi jakis blad?

[Mion]

Nie zlepiaj bezmyslnie kawałków kodu! Poszukaj w google o systemach logowania i autoryzacji poducz sie php a całą pewnością znajdziesz lepsze rozwiazanie. A jak nie... to dzial zlecenia ktoś ci to napisza i to iMHO za symboliczną kwotę / piwo

[BlackHat]

ławo ci mówić... pewnie bym tak zrobil ale ja musze korzystac z bazy danej forum a nie wlasnej dla logowania wiec widzisz.... a nie moglbys rzucic okiem i powiedziec co jest zle?

[Mion]

To nie ma znaczenia z jakiej bazy zostaną pobrane wyniki i dalej przetworzone...

[BlackHat]

eh no to moglbys prosze poprawic mi ten skrypt? przyznam sie ze to nei ja jestem jego autorem, a znajomy - ktory niestety nie ma teraz czasu na poprawki

[Hellz]

Zrób to na sesjach.

session_start();
if($_SESSION['login'] == 'ok')
{
//Treść po zalogowaniu
}
else
{
// Twój skrypt, w momencie prawidłowego zalogowania ustawia, gdy jest błąd pokazuje logowanie
$_SESSION['login'] = 'ok';
}