Controlar usuario inexistente en BD

albertpg · #1 (**permalink**) 22/09/2010, 01:43

Buenas. Tengo un index.php donde se hace el login. Aqui solo compruebo mediante JS si se rellenan los campos. Luego en default.php se hace la comprobación en la BD. Si existe, pasa a main.php, pero si no existe (o la contraseña es erronea), me gustaría que saliera una alarma y que volviera a index.php.

No lo consigo hacer. Cuando es erroneo, se me queda en la pagina default.php que como no hay nada, está toda blanca.
Como hago la comprobación de usuario incorrecto?

gracias.

--index.php---

Código PHP:

Ver original<?
session_start();
if(isset($SESSION)){
    header("location:main.php");
}else{ 
 
?>
<html>
<head>
<title>Administración Portal Asociación Amigos de la Ópera de Sabadell</title>
 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<script language="JavaScript" type="text/JavaScript">
<!--
 
function comprovar(formu)
{
    missatge = "";
    fet = 0;
    if (formu.login.value == "")
    {
        missatge = "Introduzca su Usuario.";
        fet = 1;
    }
    if (formu.pass.value == "")
    {
        if(fet == 1)
            missatge = missatge + " Introduzca su Contraseña.";
        else
        {
            missatge = "Introduzca su Contraseña.";
            fet = 1;
        }
    }
    if (fet == 1)
        alert(missatge);
    else
    {
        formu.submit();
    }
}
 
-->
</script>
<style>
<!--
 
input
{
    BORDER-RIGHT: black thin solid;
    BORDER-TOP: black thin solid;
    BORDER-LEFT: black thin solid;
    BORDER-BOTTOM: black thin solid;
    BACKGROUND-COLOR: #ffffff
}
body {
    background-color: #f1e4da;
}
 
-->
</style>
</head>
<body onLoad="javascript:document.pp.login.focus();" text="#000000" link="#800080" vlink="#800080" alink="#800080" leftmargin="0" topmargin="0" marginheight="0" marginwidth="0" scroll="no">
<table width="100%" cellspacing="0" cellpadding="0" border="0" background="gifs/fonstop.jpg">
    <tr>
        <td width="251" align="left"><img src="gifs/fototop.jpg" width="350" height="79" border="0"></td>
        <td align="right" valign="bottom"><img src="gifs/titadmin.gif" width="407" height="52" hspace="5" border="0"></td>
    </tr>
</table>
<center><br><br><br><br>
<font face="verdana"><b>Administración Portal<br>Asociación Amigos de la Ópera de Sabadell</b></font><br><br><br>
<form name="pp" method="post" action="default.php">
<table width="300" align="center" cellpadding="0" cellspacing="0" border="0" bordercolor="#000000">
    <tr>
        <td width="20"><img src="gifs/dalte.gif" width="20" height="20" border="0"></td>
        <td align="center" colspan="2" bgcolor="#000000">&nbsp;</td>
        <td width="20"><img src="gifs/daltd.gif" width="20" height="20" border="0"></td>
    </tr>
    <tr>
        <td width="20" bgcolor="#000000">&nbsp;</td>
        <td colspan="2" bgcolor="#000000"><font face="Verdana" size="1" color="#ffffff"><b>&nbsp;&nbsp;&nbsp;Introduzca su Usuario y Contraseña:</b><br><br></font></td>
        <td width="20" bgcolor="#000000">&nbsp;</td>
    </tr>
    <tr>
        <td width="20" bgcolor="#000000">&nbsp;</td>
        <td width="50%" align="left" bgcolor="#000000"><font face="Verdana" size="1" color="#ffffff"><b>&nbsp;&nbsp;&nbsp;Usuario:</b></font></td>
        <td width="50%" align="center" bgcolor="#000000"><input type="text" name="login" size="20" maxlength="10"></td>
        <td width="20" bgcolor="#000000">&nbsp;</td>
    </tr>
    <tr>
        <td width="20" bgcolor="#000000">&nbsp;</td>
        <td width="50%" align="left" bgcolor="#000000"><font face="Verdana" size="1" color="#ffffff"><b>&nbsp;&nbsp;&nbsp;Contraseña:</b></font></td>
        <td width="50%" align="center" bgcolor="#000000"><input type="password" name="pass" size="20" maxlength="10"></td>
        <td width="20" bgcolor="#000000">&nbsp;</td>
    </tr>
    <tr>
        <td width="20" bgcolor="#000000">&nbsp;</td>
        <td align="right" colspan="2" bgcolor="#000000"><br><input type="button" value="   Entrar   " onClick="comprovar(this.form)"></td>
        <td width="20" bgcolor="#000000">&nbsp;</td>
    </tr>
    <tr>
        <td width="20"><img src="gifs/baixe.gif" width="20" height="20" border="0"></td>
        <td align="right" colspan="2" bgcolor="#000000">&nbsp;</td>
        <td width="20"><img src="gifs/baixd.gif" width="20" height="20" border="0"></td>
    </tr>
</table>
</form>
</body>
</html>
<?
}
?>

---default.php---

Código PHP:

Ver original<?php
session_start();
 
include("include/cons.php");
include_once("include/inctexteadmin.php");
 
 
$login = htmlspecialchars(trim($_POST['login']));
$pass = trim($_POST['pass']);
 
 
    $link=mysql_connect($server,$dbuser,$dbpass) or die ("Impossible connectar amb el servidor");
    $query = sprintf("SELECT id_usuari, password, codi, sam, clau_permis, clau_idioma, deshabilitat FROM usuaris WHERE codi='".$login."' and password='".$pass."'");
    
    mysql_real_escape_string($login);
    mysql_real_escape_string($pass); 
    
    $result=mysql_db_query($database,$query,$link) or die (mysql_error());
    $n = mysql_num_rows($result) or die (mysql_error());
    
    if($n>0){
        $array=mysql_fetch_array($result);
        
        $_SESSION["id_usuari"]=$array["id_usuari"];
        $_SESSION["codi"]=$array["codi"];
        $_SESSION["password"]=$array["password"];
        $_SESSION["sam"]=$array["sam"];
        $_SESSION["clau_permis"]=$array["clau_permis"];
        $_SESSION["clau_idioma"]=$array["clau_idioma"];
        $_SESSION["deshabilitat"]=$array["deshabilitat"];
        
        $idioma = $_SESSION["clau_idioma"];
        if ($idioma == 1){
            $_SESSION["idioma"] = "cs";
        }else{
            $_SESSION["idioma"] = "ct";
        }
        $_SESSION["idiomes"] = "cs,ct";
        
        $deshabilitat = $_SESSION["deshabilitat"];
            
        if ($deshabilitat == 1){
        ?>
            <script language="JavaScript" type="text/JavaScript">
            <!--
 
            alert('<?=texte($_SESSION["idioma"],"txtdeshabilitat")?>');
            top.location = "index.php";
 
            -->
            </script>
        <?php
        }
        header("Location:main.php");
    }else{
        echo "<script language='JavaScript'> alert('Login INCORRECTE');</script>"; 
        echo "<SCRIPT LANGUAGE='JavaScript'> location.href='index.php'; </SCRIPT>";
    } 
       
?>

OsSk4R · #2 (**permalink**) 22/09/2010, 04:14

Buenas,

Pues con un simple if.

Por ejemplo:

Código PHP:

Ver original$query = mysql_query("SELECT * FROM usuarios WHERE usuario = '$usuario' AND  password='$pass'") or die(mysql_error());
        $rmostrar = mysql_fetch_array($query);
        if($mostrar['password'] != $pass) {
        echo "Login incorrecto";
        echo "<meta http-equiv='Refresh' content='2;url='index.php'>";
        }else{
            //Como ha sido correcto, aqui ponemos el resto de codigo
        }

Saludos,

albertpg · #3 (**permalink**) 22/09/2010, 04:32

Gracias, la verdad es que me esperaba que fuera más complicado. Es super intuitivo..

Pero, me sigue pasando lo mismo! No salta el mensaje de error y se me queda la propia página en blanco en lugar de hacer la redirección...

Código PHP:

Ver original<?php
session_start();
 
include("include/cons.php");
include_once("include/inctexteadmin.php");
 
 
$login = htmlspecialchars(trim($_POST['login']));
$pass = md5(trim($_POST['pass']));
 
 
    $link=mysql_connect($server,$dbuser,$dbpass) or die ("Impossible connectar amb el servidor");
    $query = sprintf("SELECT id_usuari, password, codi, sam, clau_permis, clau_idioma, deshabilitat FROM usuaris WHERE codi='".$login."' and password='".$pass."'");
    
    mysql_real_escape_string($login);
    mysql_real_escape_string($pass); 
    
    $result=mysql_db_query($database,$query,$link) or die (mysql_error());
    $n = mysql_num_rows($result) or die (mysql_error());
    
    if($n>0){
        $array=mysql_fetch_array($result);
        //echo $array["password"];
        if ($array["password"] != $pass){
            echo "Login INCORRECTO";
            echo "<META HTTP-EQUIV='Refresh' CONTENT='0;url='index.php'>";
        }else{
        
            $_SESSION["id_usuari"]=$array["id_usuari"];
            $_SESSION["codi"]=$array["codi"];
            $_SESSION["password"]=$array["password"];
            $_SESSION["sam"]=$array["sam"];
            $_SESSION["clau_permis"]=$array["clau_permis"];
            $_SESSION["clau_idioma"]=$array["clau_idioma"];
            $_SESSION["deshabilitat"]=$array["deshabilitat"];
            
            $idioma = $_SESSION["clau_idioma"];
            if ($idioma == 1){
                $_SESSION["idioma"] = "cs";
            }else{
                $_SESSION["idioma"] = "ct";
            }
            $_SESSION["idiomes"] = "cs,ct";
            
            $deshabilitat = $_SESSION["deshabilitat"];
                
            if ($deshabilitat == 1){
            ?>
                <script language="JavaScript" type="text/JavaScript">
                <!--
    
                alert('<?=texte($_SESSION["idioma"],"txtdeshabilitat")?>');
                top.location = "index.php";
    
                -->
                </script>
            <?php
            }
            header("Location:main.php");
        }   
    }else{
        echo "<script language='JavaScript'> alert('Login INCORRECTE');</script>"; 
        echo "<SCRIPT LANGUAGE='JavaScript'> location.href='index.php'; </SCRIPT>";
        } 
    
?>

OsSk4R · #4 (**permalink**) 22/09/2010, 05:33

Buenas de nuevo,

He estado observando más atentamente tu código, y me he percatado que lo que tenias en un principio "estaba bien". O sea, no hacía falta añadir lo que te comente...

He dejado tu código así y funciona:

Código PHP:

Ver original<?php
session_start();
 
include("include/cons.php");
include_once("include/inctexteadmin.php");
 
 
$login = htmlspecialchars(trim($_POST['login']));
$pass = md5(trim($_POST['pass']));
 
 
    
    $query = sprintf("SELECT id_usuari, password, codi, sam, clau_permis, clau_idioma, deshabilitat FROM usuaris WHERE codi='".$login."' and password='".$pass."'");
    
    mysql_real_escape_string($login);
    mysql_real_escape_string($pass); 
    
    $result=mysql_db_query($database,$query,$link) or die (mysql_error());
    if (mysql_num_rows($result)>0){
  
        $array=mysql_fetch_array($result);
        
            $_SESSION["id_usuari"]=$array["id_usuari"];
            $_SESSION["codi"]=$array["codi"];
            $_SESSION["password"]=$array["password"];
            $_SESSION["sam"]=$array["sam"];
            $_SESSION["clau_permis"]=$array["clau_permis"];
            $_SESSION["clau_idioma"]=$array["clau_idioma"];
            $_SESSION["deshabilitat"]=$array["deshabilitat"];
            
            $idioma = $_SESSION["clau_idioma"];
            if ($idioma == 1){
            if ($idioma == 1){
                $_SESSION["idioma"] = "cs";
            }else{
                $_SESSION["idioma"] = "ct";
            }
            $_SESSION["idiomes"] = "cs,ct";
            
            $deshabilitat = $_SESSION["deshabilitat"];
                
            if ($deshabilitat == 1){
            ?>
                <script language="JavaScript" type="text/JavaScript">
                <!--
    
                alert('<?=texte($_SESSION["idioma"],"txtdeshabilitat")?>');
                top.location = "index.php";
    
                -->
                </script>
            <?php
            }
            @header("Location:main.php");
          
    }else{
        echo "<script language='JavaScript'> alert('Login INCORRECTE');</script>";
        echo "<SCRIPT LANGUAGE='JavaScript'> location.href='index.php'; </SCRIPT>";
        } 
    
?>

Eso sí, cuando los datos eran los correctos... marcaba un error de cabecera en header (Warning: Cannot modify header information - headers already sent by...). No se si lo sabes, pero eso es un problema debido a que estas enviando antes de header, contenido y, antes de header, session_start... no puede haber nada. Ni un espacio en blanco siquiera.

Te lo he suprimido con el operador @. Se que no es lo más adecuado, pero bueno...

Saludos,

albertpg · #5 (**permalink**) 22/09/2010, 07:06

No sé por que dices que ya estaba bien, si no está implementada la comprovación de usuario erróneo!
El alert que hay al final, salta cuando no se han encontrado registros en la BD, pero no controla el usuario.

Otra cosa, que queires decir con que no puede haber NADA delante de un header? A mi no me sale ningún error.

Pero bueno, seguimos con lo mismo, no me hace la comprobación :(

OsSk4R · #6 (**permalink**) 22/09/2010, 07:28

Tiene que funcionar, puesto que a mi me funcionó.

Una pregunta, en el campo password de tu base de datos, ¿como tienes almacenada la contraseña?

Fijate bien, pués a mi en un principio no me funcionaba porque en el campo password la contraseña la tenia almacenada así: 123456 y cuando yo enviaba la contraseña desde el formulario, me decía que el login era incorrecto ya que por un lado estaba enviando la contreseña cifrada en MD5, cuando en la base de datos no la tenia en md5.

Fijate bien en eso. Ya te digo, debe de funcionar.

El alert que hay al final tambien controla al usuario... Haz lo que te he comentado y cuando te funcione, verás que si lo controla...

Sobre lo de header me refiero a que cuando tu haces esto:

header("Location:main.php");

No puede haber ningún código ni espacio, antes de eso, de lo contrario te mostrara un error. Para que no te muestre ningún error, le he puesto el @.

Saludos,

albertpg · #7 (**permalink**) 22/09/2010, 07:35

En el campo password de la BD la tengo almacenada como MD5.

Arriba de todo hago el $pass = md5(trim($_POST['pass'])); por lo que $pass pasa a estar en MD5 no?

Entonces al comparar eso con $password que es el array de la BD, que también está en MD5 me tendría que funcionar.

Pero nO!!!1

:(

OsSk4R · #8 (**permalink**) 22/09/2010, 07:54

Si, pass pasa a entrar en md5, pero una vez más te digo, en el campo de password que tienes en la base de datos, mira a ver como tienes almacenada la contraseña.

Si la tienes por ejemplo asi: 123456 es incorrecto, no funcionara.

La debes de tener en md5, asi por ejemplo: e10adc3949ba59abbe56e057f20f883e

Por lo que veo no te esta funcionando por ese motivo.

Mira, asi lo tengo yo:

Código PHP:

Ver original<?php
session_start();
 
include("config.php");
 
 
$login = 'osquitar';
$pass = '123456';
 
$login = htmlspecialchars(trim($login));
$pass = md5(trim($pass));
 
 
    
    $query = sprintf("SELECT * FROM ocdgf_usuarios WHERE usuario='$login' and password='$pass'");
    
    mysql_real_escape_string($login);
    mysql_real_escape_string($pass); 
    
    $result=mysql_db_query($database,$query,$conexion) or die (mysql_error());
    if (mysql_num_rows($result)>0){
  
        $array=mysql_fetch_array($result);
        
            $_SESSION["id_usuari"]=$array["id_usuari"];
            $_SESSION["codi"]=$array["codi"];
            $_SESSION["password"]=$array["password"];
            $_SESSION["sam"]=$array["sam"];
            $_SESSION["clau_permis"]=$array["clau_permis"];
            $_SESSION["clau_idioma"]=$array["clau_idioma"];
            $_SESSION["deshabilitat"]=$array["deshabilitat"];
            
            $idioma = $_SESSION["clau_idioma"];
            if ($idioma == 1){
                $_SESSION["idioma"] = "cs";
            }else{
                $_SESSION["idioma"] = "ct";
            }
            $_SESSION["idiomes"] = "cs,ct";
            
            $deshabilitat = $_SESSION["deshabilitat"];
                
            if ($deshabilitat == 1){
            ?>
                <script language="JavaScript" type="text/JavaScript">
                <!--
    
                alert('<?=texte($_SESSION["idioma"],"txtdeshabilitat")?>');
                top.location = "index.php";
    
                -->
                </script>
            <?php
            }
            @header("Location:main.php");
          
    }else{
        echo "<script language='JavaScript'> alert('Login INCORRECTE');</script>";
        echo "<SCRIPT LANGUAGE='JavaScript'> location.href='index.php'; </SCRIPT>";
        } 
    
?>

Saludos,

albertpg · #9 (**permalink**) 22/09/2010, 07:58

Si, lo tengo asi: e10adc3949ba59abbe56e057f20f883e, en MD5..

No sé que puede pasar. Así lo tengo yo:

Código PHP:

Ver original<?php
session_start();
 
include("include/cons.php");
include_once("include/inctexteadmin.php");
 
 
$login = htmlspecialchars(trim($_POST['login']));
$pass = md5(trim($_POST['pass']));
 
 
    $link=mysql_connect($server,$dbuser,$dbpass) or die ("Impossible connectar amb el servidor");
    $query = sprintf("SELECT id_usuari, password, codi, sam, clau_permis, clau_idioma, deshabilitat FROM usuaris WHERE codi='".$login."' and password='".$pass."'");
    
    mysql_real_escape_string($login);
    mysql_real_escape_string($pass); 
    
    $result=mysql_db_query($database,$query,$link) or die (mysql_error());
    //$n = mysql_num_rows($result) or die (mysql_error());
    echo "hola";
    if(mysql_num_rows($result)>0){ //si la consulta ens retorna resultats
        echo "<script language='JavaScript'> alert('Consulta OK.');</script>";
        $array=mysql_fetch_array($result);
        //echo $array["password"];
        $password=$array["password"];
        $codi=$array["codi"];
        if ($password != $pass){ //comprovem que l'usuari i la pass siguin correctes
            echo "hola";
            echo "<script language='JavaScript'> alert('Contraseña incorrecta.');</script>";
            echo "<META HTTP-EQUIV='Refresh' CONTENT='0;url='index.php'>";
        }elseif ($codi != $login){
            echo "hola";
            echo "<script language='JavaScript'> alert('Usuario incorrecto.');</script>";
            echo "<META HTTP-EQUIV='Refresh' CONTENT='0;url='index.php'>";
        }elseif (($password != $pass) && ($codi != $login)){
            echo "hola";
            echo "<script language='JavaScript'> alert('Usuario y contraseña incorrectos.');</script>";
            echo "<META HTTP-EQUIV='Refresh' CONTENT='0;url='index.php'>";
        }else{
        
            $_SESSION["id_usuari"]=$array["id_usuari"];
            $_SESSION["codi"]=$array["codi"];
            $_SESSION["password"]=$array["password"];
            $_SESSION["sam"]=$array["sam"];
            $_SESSION["clau_permis"]=$array["clau_permis"];
            $_SESSION["clau_idioma"]=$array["clau_idioma"];
            $_SESSION["deshabilitat"]=$array["deshabilitat"];
            
            $idioma = $_SESSION["clau_idioma"];
            if ($idioma == 1){
                $_SESSION["idioma"] = "cs";
            }else{
                $_SESSION["idioma"] = "ct";
            }
            $_SESSION["idiomes"] = "cs,ct";
            
            $deshabilitat = $array["deshabilitat"];
                
            if ($deshabilitat == 1){ //si l'usuari està deshabilitat
            ?>
                <script language="JavaScript" type="text/JavaScript">
                <!--
    
                alert('<?=texte($_SESSION["idioma"],"txtdeshabilitat")?>');
                top.location = "index.php";
    
                -->
                </script>
            <?php
            }
            @header("Location:main.php");
        }   
    }else{
        echo "<script language='JavaScript'> alert('Login INCORRECTE');</script>"; 
        echo "<SCRIPT LANGUAGE='JavaScript'> location.href='index.php'; </SCRIPT>";
        } 
    
?>

albertpg · #10 (**permalink**) 22/09/2010, 08:04

Bueno,ahora si que no lo entiendo. Si pongo el user o la pass mal, me sale el ultimo alert, el de Login INCORRECTO, pero no sale nunca nuinguno de los 3 de arriba.

Pero no es supone que el último alert es para cuando no encuentras registros en el SELECT???

OsSk4R · #11 (**permalink**) 22/09/2010, 08:22

El último alert es para cuando no encuentre registros en la tabla. O sea, para cuando haya 0 registros. Pero también sirve para cuando el usuario y password no coinciden.

Ya que si no coinciden, es como si no existiera ese usuario con ese password, por eso te muestra también el alert.
Por tanto, si en nuestra base de datos tenemos 0 registros, saldrá el alert, pero, si tenemos registros, pero no coinciden, también saldrá el alert.

Por tanto, esos if que tienes por medio ($password != $pass, etc...) no hacen falta.

albertpg · #12 (**permalink**) 22/09/2010, 08:25

Perfecto muchas gracias por tu ayuda crack :)

albertpg · #13 (**permalink**) 22/09/2010, 08:28

Ah, otra cosa.

Cuando me sale el alert último, me sale bajo la página de comprobación login, que como no hay nada, está blanca.

Me gustaría que el alert saliera en la misma página del formulario de login, ya que queda más bonito.

Como se hace?

OsSk4R · #14 (**permalink**) 22/09/2010, 08:41

¿Lo que quieres hacer es que en la página que contiene el formulario de login, en el caso de que los datos sean incorrectos, el alert te aparezca en esa misma página?

Si es asi se me ocurre utilizar switch.
O sea, el código que hace la comprobación (del que hemos esta hablando durante todo el tema) habría que incluirlo dentro de la pagina que contiene el formulari ode login. Pero, abría que incluidlo (el codigo de la comprobación) dentro de un switch.

¿Sabes cómo te digo?

Saludos,

albertpg · #15 (**permalink**) 22/09/2010, 09:03

Si, pero porque un switch y no un if?

Entonces en lugar de pasar el user y pass por POST, al estar en la misma página, se hace directo?

OsSk4R · #16 (**permalink**) 22/09/2010, 09:18

No se, es la costumbre. Yo cuando necesito hacer cosas de estas, suelo utilizar switch

Cita:

Entonces en lugar de pasar el user y pass por POST, al estar en la misma página, se hace directo?

No. Debes de continuar pasando el user y pass por POST...

Aquí un ejemplo:

Suponiendo que la página que contiene el formulario de login, se llama formulario_login.php:

Código PHP:

Ver original<?php
$accion = $_GET['accion'];
 
switch ($accion) {
    case 'login':
        //Aqui iria todo el código de comprobacion. O sea, el que hemos estado       hablando durante todo el tema
    break;
}
?>
<form method="post" action="formulario_login.php?accion=login">
        <label for="usuario">Usuario:</label>
            <input type="text" id="usuario" name="usuario">
                <label for="pass">Contraseña:</label>
                    <input type="password" id="usuario" name="pass">
                        <input type="submit" id="submit" value="Ingresar">
                        
</form>

Saludos,