Interagire con le tabelle di SMF

Salve, sto preparando un modulo nel sito per fare il loggin in php
dove l'utente inserisce nome e password. In php poi vado a verificare
se l'utente è presente nella tabella smf_members.
La mia domanda è:

E' sicuro far inviare la password ad un utente con un modulo php
semplice dove si inserisce tramite un semplice campo di testo?
Oppure bisogna fare qualcosa di particolare per rendere l'inserimento
della password più sicuro?

grazie in anticipo

Non è solo sicuro, è anche l'unico modo.
Il campo in questione devovrebbe però essere di tipo 'passowrd' anzichè 'text'.
Informati, inoltre, sul metodo utilizzato da SMF per codificare la password (di solito si usa un semplice md5(), ma può anche essere più complicato).


ciao!

Dovrei fare una query di questo tipo vero?

Codice:

$query= "SELECT * FROM smf_members 
WHERE memberName='$user' AND passwd='md5($pass)' " ;

Solo che il mio problema è questo ora:
prima di fare la query devo connettermi al DATABASE ma un utente che deve fare il loggin mica può connettersi al database con la password dell'amministratore. Voglio dire come connetto un utente al database?
Fossi io userei nome utente gattilandia e poi lamia passw ma un utente?

Aspe forse non mi sono spiegato bene alora prima mi connetto:

Codice:

$connessione = mysql_connect("localhost", "utente_mysql", "password_mysql")

utente_mysql= gattilandia
password_mysql=passwordmia

Se un utente invece deve fare il loggin come lo connetto al
Database?

[seneca]

Ma lo script di connessione lo scrivi tu, mica l'utente...
Lo inserisci prima della query, l'utente non c'entra nulla con la connessione al db

Ma lo script di connessione lo scrivi tu, mica l'utente...
Lo inserisci prima della query, l'utente non c'entra nulla con la connessione al db

Si ma nello script devo inserire la password di connessione ... non mi sembra molto sicuro no?
Metti che uno scarica lo script e dal codice prende la password ???

[seneca]

Per quale motivo?
Qualsiasi script tu scriva per interagire col db ha bisogno di password e a meno che tu non fornisca il codice a qualcuno non è possibile leggerla.
Inoltre, secondo me, fai un errore di fondo: non è l'utente che si connette al db, è il tuo script di login (che potrebbe essere anche uno script per galleria fotografica, di visualizzazione dati, ...).

Tutto il web è basato su questa tecnica.
Credi ancora che sia poco sicura?


Ciao!

Tutto il web è basato su questa tecnica.
Credi ancora che sia poco sicura?


Ciao!

no però non capisco una cosa:
Se un utente da browser va su visualizza sorgente o visualizza codice
può leggere lo script tra i tag <script></script>

e se lo script invece è in un file tipo script.js qualcuno potrebbe scaricare
il file e recuperare la password. non è così?

Ma stiamo parlando di php, non di html o javascript!

Il php viene interpretato automaticamente dal server per poi restituire codice html.


ciao!

cioè se io metto questo:

Codice:

<?php
    $connessione = mysql_connect("localhost", "gattilandia", "passworddigattilandia")
        or die("Connessione non riuscita: " . mysql_error());
    print ("Connesso con successo");
    mysql_close($connessione);
?>

in un file connessioneDB.php
nella root http://gattilandia.altervista.org/
nessuno può leggere la parola passworddigattilandia?

Si comunque credo di aver capito avevo le idee un po confuse xke il codice java viene eseguito
in locale dall'utente e per quello che vede il codice. Mentre il php viene interpretato direttamente
ecco perche facevo confusione

Esattamente.

Attenzione: java e javascript sono due cose completamente diverse.


Ciao!

L'ultima domanda poi non ti disturbo più
Allora mi chiedo a cosa serve criptare le password sul database se tanto nessuno può leggerle?

Durante l'invio a senso xke qualcuno potrebbe sniffarla se così si può dire
ma una volta dentro il database ho notato che SMF la salva criptata a che
scopo?

non è come scrivere la password in un file php?

grazie e scusa per le domande ma vorrei capire un po meglio queste cose!
Grazie

Così neanche chi ha leggittimamente accesso al database può sapere le password degli utenti.


ciao!

[Darknico]

perchè nn usi le funzioni gia pronte SSI di smf
risolveresti tutto con una riga di codice

Codice PHP:

<?php ssi_login(); ?>

per capire meglio, guardati il file ssi_examples.php contenuto nel pacchetto di smf...

Sei un grande grazie... molto interessante
posso usare le funzioni di SMF già pronte

Ho provato e funziona! Il problema è che usando quella
funzione di SMF mi mette in automatico i due campi
nome utente
e password
e il pulsante accedi.
Solo che se clicco su accedi mi apre il forum
io volevo che rimanesse nella pagina principale

Come posso fare?
-------------------------------------------------
Un altro problema:
Ho provato ad usare la funzione Welcome Function: <?php ssi_welcome(); ?>
Ma mi da come risultato:

Welcome Function: <?php ssi_welcome(); ?>

Codice:

Benvenuto! Accedi o registrati.

Mentre nel file di esempio ssi_examples.php mi dice:

Codice:

Ciao Fabry, hai 1 messaggio, 0 sono nuovi.

Come mai dal mio file php non mi riconosce?

[Darknico]

penso per il www, cioè:
-www.tuosito
-tuosito

è differente per i coockie, quindi in uno sei visibile e l'altro no, prova a vedere bene se noti la differenza....

Cioè devo mettere un percorso relativo? questo è il file php mio:
http://gattilandia.altervista.org/Cla/esempiofa.php
questo è quello di SMF:
http://www.gattilandia.altervista.or...i_examples.php
Fai il loggin al forum con
user: prova
password: prova
E noti che il file ssi_examples.php produce : Ciao prova, hai 1 messaggio, 0 sono nuovi.
mentre il mio file php da come risultato sempre:
Benvenuto! Accedi o registrati.
Eppure tutte le altre funzioni le ho provate e vanno bene.
Non capisco xke questa non da il giusto output.
Cosa dovrei fare per fargli leggere lo stesso cookie??

[Darknico]

ha provato a vedere con il www come ti ho detto?
cioè:
http://www.gattilandia.altervista.org/Cla/esempiofa.php

perchè così a me va

cmq ti ho detto con o senza www, il cookie lo vede come 2 siti diversi

Si così funziona... quindi non c'è un modo per farlo funzionare anche senza il www?
Perche se cerco la mia Home Page su google e ci entro mi fa entrare con:
http://gattilandia.altervista.org/index.html quindi se nell'home metto la funzione in php non mi riconosce!

Però potrei mettere un iframe e poi imposto nel iframe non ancorato come pagina iniziale :
http://www.gattilandia.altervista.org/Cla/esempiofa.php
Cosi dovrei risolvere solo che mi pare un po brutto scomodare un frame
e non mi pare molto pulito...
cosa ne pensi?

[Darknico]

o usi tutto con www o tutto senza
io ti consiglio con www, smf lavora meglio...

Se desideri che il tuo sito compari su google con il "www", puoi accedere a www.google.it/webmasters e impostare il "tuo dominio preferito".

Stai attento però: se hai creato una sitemap senza "www", google potrebbe segnalarti degli errori.

Ovviamente, se tutti i collegamenti interni al tuo sito sono senza il prefisso, non risolvi nulla (a meno di un .htaccess).

Ciao

[Darknico]

Se desideri che il tuo sito compari su google con il "www", puoi accedere a www.google.it/webmasters e impostare il "tuo dominio preferito".

Stai attento però: se hai creato una sitemap senza "www", google potrebbe segnalarti degli errori.

Ovviamente, se tutti i collegamenti interni al tuo sito sono senza il prefisso, non risolvi nulla (a meno di un .htaccess).

Ciao

cambiarlo li nn serve a nulla, deve modificare anche i collegamenti nel suo sito e fare in modo che si visualizza sempre con www

Su www.google.it/webmasters l'ho salvato già da tempo
ed è salvato come www.gattilandia.altervista.org
Quindi non dipende da quello inoltre ho guardato la sitemap
e nella sitemap non ho messo www quindi ora la modifico.
Magari dipende da quello. Dopo che modifico la sitemap e la
invio via ftp quanto devo aspettare prima che google si
aggiorni?

[Darknico]

ma hai letto quello ke ho detto?
nn seve a niente la sitemap, sono i tuoi link che devono puntare sempre al www

Si scusa avevo capito male il post! ora modifico i link interni al sito
Vediamo se risolvo. Solo che prima che google nella ricerca mi faccia
vedere il link al mio sito come www.gattilandia.... credo debba pasare
del tempo dopo che modifico i link giusto?

[Darknico]

questo nn so dirti
ma se hai detto ke nella sitemap era gia con www nn penso ci sia molta attesa...

Senti stavo usando le funzioni che mi hai consigliato e sono veramente comode
Solo che mi lascia il tema standard del forum mentre io vorrei che mettesse il mio
devo sicuramente modificare questo:

Codice:

<link rel="stylesheet" type="text/css" href="', 
$settings['default_theme_url'], '/style.css" />

Sai cosa devo scrivere al posto di default_theme_url
il mio tema se noti nel forum è verde ma nella pagina index.php
http://www.gattilandia.altervista.org/index.php
mi mette il form di loggin con il tema standard di SMF.

O anche questo esempio
http://www.gattilandia.altervista.org/Cla/esempiofa.php
che ho fatto e una funzione di SMF se noti
crea il menù di SMF con i colori standard eppure nel mio forum ho modificato i
template

[Darknico]

su questo nn so dirti, nn avendoli mai usati

[darkwolf]

Sai cosa devo scrivere al posto di default_theme_url

Invece di usare la variabile (default_theme_url) non puoi inserire l'url assoluto del css desiderato?
-
Dovrebbe essere:

Codice PHP:

<link rel="stylesheet" type="text/css" href="http://www.gattilandia.altervista.org/forum/Themes/FabryTheme/style.css?fin11" />


Esatto ora funziona!
Un altra domanda importante guarda questo esempio:
http://www.gattilandia.altervista.org/Cla/esempiofa.php
Li ho usato la funzione <?php ssi_logout( $current_url , ''); ?>
e <?php ssi_login($current_url , 'echo'); ?>
perchè volevo che una volta fatto il loggin rimanesse sulla Home
e anche quando si va su logout. il codice è questo:

Codice:

<?php 
require("/membri/gattilandia/forum/SSI.php"); 
$current_url = 'http://www.gattilandia.altervista.org/index.php';
   $_SESSION['logout_url'] = $current_url;
   $_SESSION['login_url'] = $current_url;
?><!

.....
<?php ssi_logout( $current_url , ''); ?>
<?php ssi_login($current_url , 'echo'); ?>

Il LogOUT funziona infatti torna alla Home mentre il loggin mi porta al forum!
nn capisco come mai?
Puoi usare questi dati per vedere ma riccordati di aggiornare la pagina xke altrimenti
non vedi il link esci o quello di loggin
nome utrnte = prova
password = prova

Nessuno sa da cosa dipende?