modulo login

modulo login postato il 12/01/2014 22:28:02 nel forum programmazione, open source e hosting

Salve a tutti
Sto creando un sito esterno a un gioco e sto avendo un problema con il modulo di login. Nel file index.php si inseriscono nome e password. Il form rimanda alla pagina login.php contenente questo codice:

<?php
require_once('config.php');

// Nome utente e password inviate attraverso il form
$myusername=$_POST['myusername'];
$mypassword=sha1($_POST['mypassword']);

$result=mysql_query("SELECT * FROM utenti WHERE nome='".$myusername."' AND password='".$mypassword."'");
$count=mysql_num_rows($result);

if($count==1){
$query=mysql_fetch_array($result);
$_SESSION['id']=$query['id'];
$_SESSION['nome']=$query['nome'];

header('Location: pagina.php', true);
}else{
echo 'Nome o password errati';
}
?>

una volta effettuato il login, come potete vedere, si viene reindirizzati alla pagina pagina.php avente il seguente codice:

session_start();
if(!empty($_SESSION['nome'])){ echo 'ok'; }else{ echo 'no'; }

Il problema è che in questa pagina non mi riconosce il login, quindi sia che io abbia fatto il login sia che io non l'abbia fatto vedo sempre la scritta "no". Dove sbaglio?

12/01/2014 22:42:33

<?php
session_start();
require_once('config.php');

se non apri la sessione la vedo ardua scriverci sopra..

Comunque quel codice scritto così non dovrebbe MAI vedere la luce. È vulnerabilissimo ad SQL Injection. Se proprio non vuoi usare le query parametriche assicurati almeno di fare dei controlli su qualsiasi input preso da HTML e poi rimandato ad istruzioni SQL.

12/01/2014 22:45:56 e modificato da astro991 il 12/01/2014 22:54:39

Mi son dimenticato di copiarlo ma il richiamo al file config.php c'è ma il codice non mi funziona.

EDIT:

@darkabe: grazie per l'informazione, ora mi metto a sistemarlo con le protezioni allora.

@spyker: ti pareva che fosse per una cosa molto stupida?! grazie