Ayuda con esta sentencia

Touch · #1 (**permalink**) 20/08/2005, 03:43

Hola estoy comenzando a trabajar con php y necesito que me digais si esta sentencia que he realizado esta bien hecha(el resultado que obtengo es el k kiero)

Os explico. Recibo los datos de un formulario y tengo que mirar ese registro y mirar si tiene el campo de validacio a 0 o 1.

El codigo es el siguiente:

include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];

$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'");

while($row = mysql_fetch_array($consulta))
{
if($row[5]=="0")
{
echo "hola";
}
else
{
echo "holaaaa";
}
}

Se haria de otra forma o esta es correcta.

Bytevamp · #2 (**permalink**) 20/08/2005, 04:17

hombre desde mi punto de vista es correcto, de echo es como lo suelo usar yo, asi que perfecto.

Y por cierto, bienvenido al apasionante mundo del PHP, que tantas alegrias y tantos dolores de cabeza nos trae(los dolores de cabeza se ven resarcidos en el momento que hayamos la resolucion del problema).

Saludos y suerte en esta nueva experiencia.

$thisone · #3 (**permalink**) 20/08/2005, 04:21

Cita:

Iniciado por Touch

Hola estoy comenzando a trabajar con php y necesito que me digais si esta sentencia que he realizado esta bien hecha(el resultado que obtengo es el k kiero)

Os explico. Recibo los datos de un formulario y tengo que mirar ese registro y mirar si tiene el campo de validacio a 0 o 1.

El codigo es el siguiente:

include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];

$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'");

while($row = mysql_fetch_array($consulta))
{
if($row[5]=="0")
{
echo "hola";
}
else
{
echo "holaaaa";
}
}

Se haria de otra forma o esta es correcta.

Si y no.
El funcionamiento es correcto(te funciona bien :)) pero la seguridad es nula.

Cita:

$nick=$_POST['usuario'];
$clave=$_POST['clave'];

$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'");

Tienes que pasarle alguna funcion como addslashes() y htmlentities() para espacar todos los caracteres como comillas y cosas de el estilo y para convertid a entidades HTML los caracteres posibles.

De lo contrario sería vulnerable a uuna inyección de codigo SQL.

Un ejemplo rapidito:

Código:

pagina.php?usuario='+OR+1=1+UNION+ALL+SELECT+clave,clave,clave,clave,clave+WHERE+usuario='admin'+/*

Touch · #4 (**permalink**) 20/08/2005, 04:22

No entiendo lo que me dices, una inyección de codigo SQL????

Touch · #5 (**permalink**) 20/08/2005, 04:25

Por cierto, ahora estoy intentando crear una cookie para recordar al usuario y lo ponog en el ultimo else, el siguiente codigo:

setcookie("user","hola",time()+3600);
y me da este error:
Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\validar.php on line 27
Y no encuentro al solucion

$thisone · #6 (**permalink**) 20/08/2005, 04:25

Cita:

Iniciado por Touch

No entiendo lo que me dices, una inyección de codigo SQL????

¿Nunca has escuchado de inyecciones SQL a portales php-nuke por ejemplo? ¿o a foros phpBB?

Eso eso por no filtrar los datos que metes/sacas a la base de datos.

Cita:

$nick=htmlentities(addslashes($_POST['usuario']));
$clave=htmlentities(addslashes($_POST['clave']));

$thisone · #7 (**permalink**) 20/08/2005, 04:27

Cita:

Iniciado por Touch

Por cierto, ahora estoy intentando crear una cookie para recordar al usuario y lo ponog en el ultimo else, el siguiente codigo:

setcookie("user","hola",time()+3600);
y me da este error:
Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\validar.php on line 27
Y no encuentro al solucion

Joder que desordenllevamos posteando :).

Eso es porque setcookie() no puedes usarla despues de enviar cabezeras al navegador. Tienes que colocar la cookie antes de escribir cualquier cosa en pantalla(HTML).

Touch · #8 (**permalink**) 20/08/2005, 04:36

Gracias por tus rapidas respuestas, y siento el desorde. MEA CULPA
Ya investigare lo de la inyecciones SQL pero ahora me esta matando la cookie, pq no tengo puesto nada de html. Me parece k me estoy liando...el unico codigo k tengo es el k ves arriba.
Donde tendria k crear la cookie?

$thisone · #9 (**permalink**) 20/08/2005, 04:49

Asegurate de no tener nada de HTML, incluso un simple espacio antes del script o te dará un warning.

También deverias comprobar con mysql_num_rows() si existe el usuario o no.

Touch · #10 (**permalink**) 20/08/2005, 04:53

Si tengo k crear la cookie antes del html, como introduzco los valores que quiero en al cookie???
este es el codigo:

<?
setcookie("nombre","Fabian Muller", time()+365);
?>
<html>
<head>
</head>
<body>
<?
include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];
$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'");
if(mysql_num_rows($consulta)=="0")
{?>
<script>
alert(No estas registrado en la BBDD);
</script>
<?}
while($row = mysql_fetch_array($consulta))
{
if($row[5]=="0")
{

}
else
{
//aqui deberia de crear la cookie y no arriba
}
}
?>
</body>
</html>

$thisone · #11 (**permalink**) 20/08/2005, 04:55

Cita:

Iniciado por Touch

Si tengo k crear la cookie antes del html, como introduzco los valores que quiero en al cookie???
este es el codigo:

<?
setcookie("nombre","Fabian Muller", time()+365);
?>
<html>
<head>
</head>
<body>
<?
include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];
$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'");
if(mysql_num_rows($consulta)=="0")
{?>
<script>
alert(No estas registrado en la BBDD);
</script>
<?}
while($row = mysql_fetch_array($consulta))
{
if($row[5]=="0")
{

}
else
{
//aqui deberia de crear la cookie y no arriba
}
}
?>
</body>
</html>

Pero hombre!!! estas metiendo HTML antes del script xDD.

Cita:

<html>
<head>
</head>
<body>
<?
include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];

Elimina
<html>
<head>
</head>
<body>
de tu script. En php no hace falta que lo coloques.
Después de eso pon setcookie() donde lo estabas poniendo.

Otra cosa...yo no usaria una alerta en javascript para informar de que no existe ese usuario... creo que es mejor un simple echo.

Además el mensaje va entre comillas xD.

P.D: Si pones los scripts que posteas entre las etiquetas CODE, o PHP en este caso, facilitas mucho su lectura.

Touch · #12 (**permalink**) 20/08/2005, 05:03

Siento ser tan ....
Pero que lo dejo asi he probado ya de todo asi k habra cosas k estasn mal como el alert de tanto borrar y escribir:

Código:

<?
include("conexion.php");
$nick=$_POST['usuario'];
$clave=$_POST['clave'];
$consulta= mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'"); 
if(mysql_num_rows($consulta)=="0")
{?>
<script>
alert("No estas registrado en la BBDD");
</script>
<?}
while($row = mysql_fetch_array($consulta))
{
if($row[5]=="0")
{

}
else
{
//el setcookie lo creo aqui o arriba?????
y si lo creo arriba como le introduzo los datos que quiero????


}
}
?>

$thisone · #13 (**permalink**) 20/08/2005, 05:25

Prueba con esto:

Código PHP:

  <?php 
include_once("conexion.php"); 
 
$nick = htmlentities(addslashes($_POST["usuario"])); 
$clave = htmlentities(addslashes($_POST["clave"])); 
 
$consulta = mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'"); 
if(mysql_num_rows($consulta) != 0) 
{ 
    setcookie("nombre", $nick, time()+365); //ten en cuenta que son segundos 
    setcookie("clave", $clave, time()+365); //repito: SEGUNDOS!! xD 
    echo 'Se ha colocado la cookie correctamente'; 
}else{ 
    echo 'El usuario y/o contraseña es inválido'; 
} 
?>

Recuerda usar las funciones que te he dicho antes cada vez que metas/saques datos de la base de datos.
De una forma general tu script tendrá algo de seguridad.

Saludos ;)

Touch · #14 (**permalink**) 20/08/2005, 05:29

Nada de nada.
Me da el siguiente error:

Código:

Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\validar.php on line 10

Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\validar.php on line 11
Se ha colocado la cookie correctamente

Gracias por tu ayuda

$thisone · #15 (**permalink**) 20/08/2005, 05:30

Eso es porque todavia tienes espacios o HTML antes del script.

Touch · #16 (**permalink**) 20/08/2005, 05:33

me parece que no tengo nada:
lo unico que tengo en la pagian es este codigo tal cual:

Código:

<?
include("conexion.php"); 
$nick = htmlentities(addslashes($_POST["usuario"])); 
$clave = htmlentities(addslashes($_POST["clave"])); 
$consulta = mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'"); 
if(mysql_num_rows($consulta) != 0) 
{ 
setcookie("nombre", $nick, time()+365); //ten en cuenta que son segundos 
setcookie("clave", $clave, time()+365); //repito: SEGUNDOS!! xD 
echo 'Se ha colocado la cookie correctamente'; 
}
else
{ 
echo 'El usuario y/o contraseña es inválido'; 
} 
?>

y luego no hay nada más ni html ni scrip ni nada.
Buff de nuevo gracias

$thisone · #17 (**permalink**) 20/08/2005, 05:34

Crear un archivo nuevo y mete este código TAL Y COMO YO TE LO DOY!! xD

Código PHP:

  <?php 
$enviar = $_POST["enviar"]; 
if(isset($enviar)) 
{ 
    include_once("conexion.php"); 
 
    $nick = htmlentities(addslashes($_POST["usuario"])); 
    $clave = htmlentities(addslashes($_POST["clave"])); 
 
    $consulta = mysql_query("SELECT * FROM usuarios WHERE user='$nick' and clave='$clave'"); 
    if(mysql_num_rows($consulta) != 0) 
    { 
        setcookie("nombre", $nick, time()+365); //ten en cuenta que son segundos 
        setcookie("clave", $clave, time()+365); //repito: SEGUNDOS!! xD 
        echo 'Se ha colocado la cookie correctamente'; 
        exit(); 
    }else{ 
        echo 'El usuario y/o contraseña es inválido<br>'; 
    } 
} 
?> 
<form method="post" action="<?=$PHP_SELF?>"> 
Usuario:<br> 
<inpup type="text" name="usuario"><br> 
Clave:<br> 
<inpup type="password" name="clave"><br> 
<input type="submit" name="enviar" value="Conectar"> 
</form>

No incluyas este archivo en ningún lado...simplemente entra en él y veras como puedes logearte sin problemas(salvo si cometí un error de sintaxis).

Prueba y me cuentas ;)

$thisone · #18 (**permalink**) 20/08/2005, 05:38

Despues de probar este script te salta algún error?¿

Llevo tiempo sin programar en php pero no creo que me haya afectado tanto xD

Touch · #19 (**permalink**) 20/08/2005, 05:40

me sale esto:

Undefined index: enviar in c:\archivos de programa\easyphp1-8\www\forobilbao\prueba.php on line 2

$thisone · #20 (**permalink**) 20/08/2005, 05:41

Ups...

Prueba reemplazando

Código PHP:

  $enviar = $_POST["enviar"]; 
if(isset($enviar))

por

Código PHP:

  if(isset($_POST["enviar"]))

P.D: I forgot postback ;)

Touch · #21 (**permalink**) 20/08/2005, 05:44

La primera pagina me sale bien pero al dar a conectar esto:

Código:

Forbidden
You don't have permission to access /forobilbao/<br /><b>Notice</b>: Undefined variable: PHP_SELF in <b>c:/archivos de programa/easyphp1-8/www/forobilbao/prueba.php</b> on line <b>20</b><br /> on this server.

$thisone · #22 (**permalink**) 20/08/2005, 05:48

Perdona...crea otra archivo salir.php

Código PHP:

  <?php 
setcookie("nombre"); 
setcookie("clave"); 
?>

El errores de las cabeceras puede salirte porque estés intentando sobreescribir las cookies.
Primero elimina las cookies con salir.php y despues logeate en el otro archivo.

$thisone · #23 (**permalink**) 20/08/2005, 05:49

Joder, que server mas estricto tienes...te dice claramente que no tienes permisos.

En el formulario, cambia <?=$PHP_SELF?> por el nombre del archivo que lo contiene.

A ver si por fin damos en el clavo!!!

Touch · #24 (**permalink**) 20/08/2005, 05:50

Me sale el mismo error

$thisone · #25 (**permalink**) 20/08/2005, 05:52

Cita:

Forbidden
You don't have permission to access /forobilbao/

Tiene que tener permisos suficientes.

Touch · #26 (**permalink**) 20/08/2005, 05:54

Estoy trabajndo de forma local y ahora me sale este error

Código:

Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\prueba.php on line 12

Warning: Cannot modify header information - headers already sent by (output started at c:\archivos de programa\easyphp1-8\www\forobilbao\conexion.php:14) in c:\archivos de programa\easyphp1-8\www\forobilbao\prueba.php on line 13

$thisone · #27 (**permalink**) 20/08/2005, 05:55

jajajaj
lo sabia.
Puedes poner el contenido, completo, de tu archivo conexion.php?

Queria creer que no, pero seguro que en ese archivo tienes HTML xDDDD!!!!

Touch · #28 (**permalink**) 20/08/2005, 06:01

Hay va:

Código:

<? 
//Conexion con la base 
$conn = mysql_connect("localhost","root",""); 
mysql_select_db("foro",$conn); 
?>

$thisone · #29 (**permalink**) 20/08/2005, 06:07

Joder, me estoy volviendo crazy!!!

La verdad, la única explicación que le encuentro es que tengas un espacio en el archivo de configuración(Mira bien al final del archivo xD)

No encuentro otro errore y ademas ese Warning que la cabecera no puede modificarse, que fue enviada.

Bueno, la verdad, me extraña esta cantidad de problemas.

Espero que sea eso...porque yo no doy mas de si.

Touch · #30 (**permalink**) 20/08/2005, 06:11

YA ESTA!!!!!!!!!
Joder gracias, muchisimas gracias, el error era al final del archivo de conexion, no tenia texto sino unos saltos de linea que me he dado cuenta con el dreamweaver colocando lo de las lineas y he visto que habia mas lineas que texto.

De verdad siento haberte dado esta mañana. Muchassssss gracias