Не передаются данные POST

[Masafi]

Уже все испробовал: делал в одном файле, ставил условия...
Не передает на 2 страницу данные. Ни логин, ни пароль.
Либо я полнейший дурак и не заметил простую ошибку
Либо тут несусветная ошибка, которая возникает по своему хотению...

PHP код:

        <?php
            if($_SESSION['login'] == array('user:password:0') or empty($_SESSION['login'])){
                echo'
                    <div class="logindiv">
                        <center>Войти в СУС<br></center>
                        <form action="php/checking.php" method="post" name="formLogIn">
                            Имя<br>
                            <input type="text" title="Имя" name="user" size="25"><br>
                            Пароль<br>
                            <input type="password" title="Пароль" name="password" size="25"><br>
                            <center><input type="submit" title="Войти" name="check" value="Log In"></center>
                        </form>
                    </div>
                ';
            }
        ?>

То, где отправляется все
З.ы. извините за 2 пробела в начале, просто разметка в странице такая.

PHP код:

<?php
    $query = mysql_query('SELECT * FROM users');
    $_POST['user'] = $user;
    $_POST['password'] = $pass;
    while($data = mysql_fetch_array($query)){
        if($user == $data['user']){
            if($pass == $data['password']){
                echo'Вы успешно зашли на сайт.<br>';
                $_SESSION['login'] = array(''.$user.':'.$pass.':'.$data["id"].'');
                $_SESSION['adminuser'] = array(''.$user.':'.$pass.':'.$data["id"].'');
            }
            else {
                $_SESSION['login'] = array('user:password:0');
                echo'Ошибка. Проверьте правильность пароля.<br>';
            }
        }
        else {
            $_SESSION['login'] = array('user:password:0');
            echo'Ошибка. Проверьте правильность имени и пароля.<br>';
        }
    }
    echo'<a href="../cms.php">Нажмите сюда, если ваш браузер не поддерживает автоматическое перенаправление или вам надоело ждать.</a><br>';
?>

Принимающая сторона.

[Andkorol]

Это бред:

Цитата:

Сообщение от Masafi

PHP код:

$_POST['user'] = $user; 
$_POST['password'] = $pass; 


Должно быть наоборот:

PHP код:

$user = $_POST['user']; 
$pass = $_POST['password']; 


Нет никакого смысла выбирать все записи из таблицы users – выбирай только данные для переданного из формы логина.
Хранить пароль в БД в чистом виде – плохая идея, используй шифрование или шифрование+salt для защиты паролей.

P.S.:
Зачем сохранять одинаковые данные в сессию дважды?:

Цитата:

Сообщение от Masafi

PHP код:

$_SESSION['login'] = array(''.$user.':'.$pass.':'.$data["id"].'');
$_SESSION['adminuser'] = array(''.$user.':'.$pass.':'.$data["id"].''); 


[Masafi]

Мдя... Это я тупой и не заметил глупой ошибки
Спасибо за все На весы кликнуть не могу, кликал недавно.

PHP код:

<?php
    $user = $_POST['user'];
    $pass = $_POST['password'];
    $query = mysql_query('SELECT * FROM `users` WHERE `user` = "'.$user.'" AND `password` = "'.$pass.'"');
    $data = mysql_fetch_array($query);
    if(!$query){
        echo'Ошибка. Проверьте правильность имени и пароля.<br>';
    }
    else {
        $_SESSION['login'] = array(''.$user.':'.$pass.':'.$data["id"].'');
        echo'Вы успешно вошли в систему.<br>';
    }
    echo'<a href="../cms.php">Нажмите сюда, если ваш браузер не поддерживает автоматическое перенаправление или вам надоело ждать.</a><br>';
?>

[Andkorol]

Цитата:

Сообщение от Masafi

PHP код:

$query = mysql_query('SELECT * FROM `users` WHERE `user` = "'.$user.'" AND `password` = "'.$pass.'"'); 


SQL-injection при таком запросе обеспечен.
Как минимум – в этом случае нужно использовать mysql_real_escape_string:

PHP код:

$query = mysql_query("SELECT * FROM `users` 
         WHERE `user` = '" . mysql_real_escape_string($user) . "' 
         AND `password` = '" . mysql_real_escape_string($pass) . "'"); 


От чистого mysql_-расширения желательно начинать отходить, хотя бы в сторону PDO, или mysqli.
Особенно на начальном этапе изучения PHP – когда, в принципе, всё равно, какое расширение для работы с БД изучать.

[Masafi]

Цитата:

Сообщение от Andkorol

SQL-injection при таком запросе обеспечен.
Как минимум – в этом случае нужно использовать mysql_real_escape_string:

PHP код:

$query = mysql_query("SELECT * FROM `users` 
         WHERE `user` = '" . mysql_real_escape_string($user) . "' 
         AND `password` = '" . mysql_real_escape_string($pass) . "'"); 


От чистого mysql_-расширения желательно начинать отходить, хотя бы в сторону PDO, или mysqli.
Особенно на начальном этапе изучения PHP – когда, в принципе, всё равно, какое расширение для работы с БД изучать.

Спасибо конечно, но я с защитой так не заморачивался, потому что в таблице юзерс всего то 2-5 логинов будет.
И еще, никогда не шифровал пароли, где именно его зашифровать.
В базе изначально, и потом расшифровывать, или когда выбираем из базы сразу шифровать? Просто мой пароль угадать то сложно, он сделан на чистом рандоме

PHP код:

<?php
$chars = "QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm1234567890"; 
$charsLen = strlen($chars); 
for ($i = 0, $s = ""; $i < 20; $i++) 
    $s .= $chars[rand(0, $charsLen - 1)]; 
echo $s;  
?>

[Andkorol]

Цитата:

Сообщение от Masafi

Просто мой пароль угадать то сложно, он сделан на чистом рандоме

Его никто не будет угадывать.
Если пароль хранится в таблице в оригинальном, чистом виде без шифрования – то получив доступ к этой таблице тем или иным способом, взломщик сможет вообще без проблем использовать этот пароль для управления сайтом например (если это пароль к админ-зоне – взломщик заходит в админку и творит там, что хочет).
Если же в таблице будет храниться зашифрованный пароль – то его получение никак не позволит взломщику использовать этот пароль для атаки на сайт, т.к. в поля формы авторизации нужно вводить оригинальный, незашифрованный пароль.

Способы шифрования паролей гуглятся легко, примеров реализации очень много.

[Masafi]

Цитата:

Сообщение от Andkorol

Его никто не будет угадывать.
Если пароль хранится в таблице в оригинальном, чистом виде без шифрования – то получив доступ к этой таблице тем или иным способом, взломщик сможет вообще без проблем использовать этот пароль для управления сайтом например (если это пароль к админ-зоне – взломщик заходит в админку и творит там, что хочет).
Если же в таблице будет храниться зашифрованный пароль – то его получение никак не позволит взломщику использовать этот пароль для атаки на сайт, т.к. в поля формы авторизации нужно вводить оригинальный, незашифрованный пароль.

А нельзя тогда хранить эти жалкие 5 паролей в самом скрипте? Не безопасней будет?

Цитата:

Сообщение от Andkorol

Способы шифрования паролей гуглятся легко, примеров реализации очень много.

Гуглил, гуглил, crypt() не робит, mcrypt_cbc() не робит, что робить то должно вообще? Или самому написать шифровалку и дэшрифовалку.

[ADSoft]

Да в вашем варианте проще вообще ничего не делать на php, ибо не вижу прогресса. Пароль нормальные люди записывают хешем, через md5 ну и плюс соль

[Masafi]

Цитата:

Сообщение от ADSoft

Да в вашем варианте проще вообще ничего не делать на php, ибо не вижу прогресса. Пароль нормальные люди записывают хешем, через md5 ну и плюс соль

Я вообще нуб во всем этом. Хеш расшифровать нельзя, зачем тогда его вообще хранить? Или я вообще ничего не понял спустя больше 2 часов гуглинья. Короче выбрал я вот такую шифровку, поменял чиселки на другие, мне хватит
http://www.php.su/articles/?cat=examples&page=028

[BDA]

Безотносительно к PHP:
Послали пароль
Скрипт посчитал от него хеш
Сравнил с тем, что в базе
Совпали - пропустил пользователя

Подобрать пароль по правильно сделанному хешу очень сложно/почти нереально (если пароль "посолить" хорошенько).