proteggere pagine con php e mysql

[gianlucaweb]

Ciao a tutti.
Vorrei proteggere le pagine personali di alcuni utenti
alle quali si possa accedere inserendo in un form (unico per tutti)
di una pagina di login nome utente e password.
La pagina di login dovrebbe inviare i dati così ottenuti ad un file php
che faccia accedere esclusivamente alla propria pagina web in php e non in html (quindi deve
selezionare la pagina in base al nome utente e alla pass inseriti nel modulo)

La pagina html del modulo potrebbe essere sostanzialmente una cosa del genere:

[code:1:90de7f80ac]
<html>
<head>
<title>Login To </title>
</head>
<body bgcolor="#FFCC66">

<div align="center">
<b>Per accedere all'area protetta inserisci ...</b>
<form method="post" action="selezionapag.php">
<table border=0 cols=2 width=200 cellpadding=0 cellspacing=0>
<tr>
<td width=100>
<b>User ID:</b>
</td>
<td width=100>
<input type="text" name="uid" size="12">
</td></tr>
<tr>
<td width=100>
<b>Password:</b>
</td>
<td width=100>
<input type="password" name="pwd" SIZE="12">
</td></tr>
<tr>
<td colspan=2 align=center><br>
<input type="submit" name="submitlogin" value="Login">
</td></tr>
</table>
</form>
</div>
[/code:1:90de7f80ac]


Non ho particolari problemi a creare una tabella in mysql con i seguenti campi:
ID
nome utente
password
pagina personale (quella alla quale rinviare per singolo utente..giusto?)


Non dovrebbe essere particolarmente difficile creare lo script php (selezionapag.php)
se la pagina protetta fosse unica per tutti gli utenti: lo script dovrebbe verificare
solamente se esiste il nome e la pass nel database e rinviare alla
pagina in php protetta se i dati sono giusti (ho anche dei tutorial e script
già pronti in questo caso); ma la cosa si complica
per me che sto ancora studiando le basi del php
volendo realizzare quello descritto sopra e
e senza dimenticare il fattore sicurezza; alla pagina php contenente "dati sensibili"
dovrebbe poter accedere solo ed esclusivamente l'utente in possesso
del nome utente e password relativi.
Mi aiutate per piacere?
grazie anticipatamente.


ps mi avevano suggerito una cosa del genere:

header ("Location: " . $pag);

exit();

ma non sono pratico di php e non saprei come sviluppare l'intero script

[Ospite]

bhe basta che non lo reindirizzi ma gli echi la pagina personale solo se pass e nome combaciano...
per fargliela modificare lo fai in un textarea...


se invece il campo pagina personale comprende solo il nome puoi usare come ti hanno detto

header ("Location: " . $pagina_personale);
che lo reindirizza alla pagina personale...


se invece ogni utente ha la pagina nome_utente.php puoi usare
header ("Location: " . $nome_utente".php);
che lo reindirizza alla pagina nome_utente.php


per gli ultimi due essendo header non devi aver inviato prima del codice html

il consiglio che ti posso dare è di creare anche la pagina bastarda.
ovvero

invece di creare una pagina in html alla quale ogni utente dopo il login accede (quindi basta sapere l'indirizzo per eludere il login), fai una paginetta in php con scritto:

if ($control=0) include("paginadavedere.htm)
if ($control!=0) include("paginadierroreconinsultivari.htm")

lo so che potevo usare l'else e mancano un po di graffe in giro.. ma tanto hai capito il concetto, no?

la cosa migliore sarebbe usare i cokie,io sofrtunatamente sn alla prime armi in php,quindi potrei dire sl caxxate,il problema a voi avviati nel php

[gianlucaweb]

...qualcosa ancora non mi è chiaro.
devo comunque ad ogni pagina personale includere lo script
che reindirizza al controllo dei dati?
Come si è già detto non devono poter accedere altre persone
non autorizzate che magari conoscono l'indirizzo (anche per caso)
Non so se sono stato chiaro, ma le pagine di ogni utente devono avere un
"include di protezione" efficace.

..ragazzi mi servirebbe un po' più di codice altrimenti risolvo un problema
e mi incasino in un altro
grazie

[gianlucaweb]

aiuto !!!

[marcio]

ti consiglio di usare il db per queste cose