problema pagine caricate... pagina cambiata senza motivo

[zulukwebsite]

salve a tutti. Oggi usando il form di registrazione del mio sito ho notato che non funzionava . sono andato allora a controllare le pagine all'interno di gestione file ed ho visto ke la pagina protetta.php, all'interno della cartella area riservata, si è trasformata senza motivo nella pagina login.php . ovviamente quindi login.php porta sempre a login.php ....anche la registrazione nn funziona bene ...a cosa può essere dovuto?...qualcuno può essere entrato nel mio spazio?

[funcool]

Sei sicuro di non aver sbagliato tu? Sicuramente non è possibile che AlterVista da sola modifichi i nomi dei file.

[zulukwebsite]

sicuro al 100% ..... fino a 2 giorni fa funzionava e nn sono mai entrato in gestione file in oltre nn carico file tramite ftp da 2 mesi ......oggi ho provato e nn funzionava più il form allora sono andato a controllare e ho notato sta cosa .....si lo so ke è impossibile ke altervista abbia cambiato la pagina infatti mi kiedevo se qualcuno fosse entrato .....ovviamente escludo nel modo più assoluto ke sia entrato qualcuno dalla mia postazione poikè mi ci connetto solo io....è stranissima sta cosa edit... chiedo scusa per aver postato nella sezione sbajata

Forse lo script ha qualche bug per cui è possibile entrare e fare alcune operazioni.

Dove lo hai preso lo script? Come ci chiama?
Postandolo magari potremmo dirti se può essere quello il problema.


Ciao!!!!

[zulukwebsite]

lo script lo scaricai da un sito ma poi lo modificai con fancool perkè non funzionava ..... fino ad ora aveva funzionato ora vi posto il contenuto qui di seguito :

registrazione.php :

Codice PHP:

<?php
include("../config.php");
$nome = $_POST['nome'];
$query = @mysql_query("SELECT * FROM ".$prefisso."utenti");
$tot = @mysql_num_rows($query);
$trovato=false;
while($dati = mysql_fetch_array($query)) {
if ($nome == $dati[nome])
$trovato=true;
break;
}

if ($trovato) {
header("location: index.php");
}
else if (trim($nome)=="" || trim($_POST['pass'])=="") {
echo "Devi completare i campi Nome e Password.";
}
else {
$pass = $_POST['pass'];
$mail = $_POST['mail'];
$ora = (date("G:i"));
$data = (date("d-m-y"));
$registrazione = "$data / $ora";
$ordine = $tot+1;

$inserisci = mysql_query("INSERT INTO ".$prefisso."utenti (nome,pass,mail,registrazione,ordine) VALUES ('$nome','$pass','$mail','$registrazione','$ordine ');");

if ($inserisci) {
echo "Registrazione effettuata";
} else {
echo "Errore durante la registrazione";
}
}
?>

login.php :

Codice PHP:

<?php
session_start();
include("../config.php");
$nome = $_POST['nome'];
$pass = $_POST['pass'];

$query = @mysql_query("SELECT * FROM ".$prefisso."utenti WHERE nome = '$nome' AND pass = '$pass'");
$tot = @mysql_num_rows($query);
$dati = mysql_fetch_array($query);
if ($tot == "1") {
$_SESSION['id'] = $dati[id];
$_SESSION['nome'] = $dati[nome];
$_SESSION['pass'] = $dati[pass];
?>
<script language="JavaScript" type="text/javascript">
location.href="../protetta.php";
</script>
<?php
} else {
?>
<script language="JavaScript" type="text/javascript">
location.href="../login.php";
</script>
<?php
}
?>

questa pagina (login.php) in pratica portava a protetta.php ....ora in altervista protetta.php c'è sempre solo ke al posto del contenuto della pagina riservata c'è il form di login

[funcool]

Prova a modificare questa riga:

Codice PHP:

if ($tot == 1) {


In questo modo:

Codice PHP:

if ($tot == 1) {


Scusami, ma le pagine, se ho capito bene, dovrebbero essere 3: registrazione.php, login.php e protetta.php, che rispettivamente rappresentano: la pagia in cui si registrano gli utenti, il login degli stessi e la pagina con contenuti rivolti solo ai registrati.
Ma quest'ultima non l'hai postata.
E poi, quando dici che la pagina protetta.php si è trasformata in login.php, quest'ultima dovrebbe essere stata sovrascritta...

Cmq quello script è pieno di bug: in primis non vengono fatti minimamente controlli dei dati che arrivano tramite post/cookie/session.

Posta anche il contenuto della pagina protetta.php, oppure chiarisci meglio la situazione se non l'ho capita.


Ciaoooo!!

[zulukwebsite]

ragazzi.... ora funziona(nn ho fatto assolutamente niente) ....nn so ke è successo ...ora nella pagina protetta c'è il contenuto effettivo.... cmq il problema era ke la pagina protetta.php era sempre presente nel server solo ke nel contenuto nn c'era il suo effettivo ...era cambiato il contenuto insomma ..... lo so ke è stranissimo... e lo è anke adesso ke è tornata come prima però vi giuro ke nn ho avuto le visioni ....ho provato a vedere stamane da casa e ora qui da lavoro ..... cmq la pagina protetta.php è questa diu seguito :

Codice PHP:

<?php
session_start();
include("config.php");
$query = @mysql_query("SELECT * FROM ".$prefisso."utenti WHERE nome = '$_SESSION[nome]' AND pass = '$_SESSION[pass]'");
$tot = @mysql_num_rows($query);
if ($tot != 1) {
?>
<script language="JavaScript" type="text/javascript">
location.href="login.php";
</script>
<?php
} else {
?>
Accesso effettuato
<?php
}
?>

ke significa ke è pieno di bug? dici ke è mejo nn usarlo grazie cmq

[funcool]

Ogni volta che assegni a una variabile il valore di un elemento dell'array $_POST potresti utilizzare la funzione addslashes per evitare che vengano inseriti nei campi da compilare possibili comandi SQL.

Codice PHP:

$variabile=addslashes($_POST['nomecampo']);


[zulukwebsite]

se basta ke aggiungo addslashes lo so fare .... nn sono un esperto php ... per la verità nn ci capisco una mazza ....cmq grazie ci proverò ... la cosa ke mi sconvolge è ke al posto di protetta.php , quando l'aprivo da gestione file, appariva il contenuto di login.php .....ed ora è tornato tutto come prima .... ma è possibile sta cosa o sono il primo caso?

Tutto ciò che passi alle query devi applicargli la funzione apposita mysql_escape_string()

Quindi ad esempio: mysql_query("SELECT * FROM ".$prefisso."utenti WHERE nome = '".mysql_escape_string($_SESSION['nome'])."' AND pass = '".mysql_escape_string($_SESSION['pass'])."'");
(a parte che mancavano diversi singlequote e virgolette nella query).

Questo è solo una delle varie accortezze che dovresti prendere.
Il mio consiglio è di usare un altro script fatto come si deve, ne trovi parecchi in rete.


Ciao!

[zulukwebsite]

Tutto ciò che passi alle query devi applicargli la funzione apposita mysql_escape_string()

Quindi ad esempio: mysql_query("SELECT * FROM ".$prefisso."utenti WHERE nome = '".mysql_escape_string($_SESSION['nome'])."' AND pass = '".mysql_escape_string($_SESSION['pass'])."'");
(a parte che mancavano diversi singlequote e virgolette nella query).

Questo è solo una delle varie accortezze che dovresti prendere.
Il mio consiglio è di usare un altro script fatto come si deve, ne trovi parecchi in rete.


Ciao!

grazie mille....... proverò le accortezze e nel frattempo ne cerkerò uno mejo