дуть доступні кожній сторінці, що працює з сесіями. Таким чином, користувач отримує можливість ідентифікуватися на кожній сторінці.
function cleanMemberSession ($ id, $ login, $ pass)
{$ session;
$ session [id]=$ id;
$ session [login]=$ login;
$ session [password]=$ pass;
$ session [logged_in]=true;
}
Як тільки встановлено ідентифікатор, ім'я та пароль, потрібно встановити елемент під назвою logged_in в значення true.
Після того як у join.php модифікована інформація про сесії і базі даних, можна направляти користувача далі. Викликається функція header () і браузер користувача направляється на сторінку update.php, на якій він отримає можливість вводити іншу інформацію про свою компанію.
4.1.2 Файл updateclub.php
Ця сторінка служить двом цілям одночасно, дозволяючи новому користувачеві додати інформацію про компанію та вже існуючого користувачеві змінювати існуючу раніше інформацію.
Програма update.php приведена додатку 5.
Далі знову включаються бібліотеки dblib.inc і clublib.inc, що дозволяє більше не займатися відкриттям бази даних і сесії в даній програмі. Після викликається нова функція під назвою checkUser (), яка відноситься до бібліотеці clublib (). Ця функція звіряє інформацію сесії з інформацією з бази даних.
function checkUser () {$ session, $ logged_in;
$ session [logged]=false;
$ club_row=getRow («clubs», «id», $ session [id]); (! club_row | | $ club_row [login]!=$ session [login] | | $ club_row [password]!=$ session [password]) {(«Location: login.php»); ();}
$ session [logged_in]=true; $ Club_row;}
Ця функція відносно проста. У ній використовується елемент масиву $ session [id] разом з функцією getRow (), яка вибирає відповідні дані з бази даних. У функції checkUser () цей асоціативний масив зберігається в змінної $ club row, після чого елементи імені та пароля даного масиву порівнюються з такими ж елементами масиву $ session. Якщо ці значення не збігаються, користувач направляється на сторінку login.php.
Звернення до бази даних необхідно, тому що на відміну від звичайної перевірки елемента logged_in в масиві $ session, він не призводить до виникнення дірок у системі безпеки. «Зловмисний» користувач зможе ввести в рядок запиту наступне:
Session% 5Blogged_in% 5D=1 & session% 5Bid% 5D=l
РНР перетворює це в масив $ session з параметрів GET і в результаті зможе пройти не дуже сувору перевірку. Тепер користувач не зможе використовувати цей простий прийом, щоб обдурити функцію checkUser (), оскільки порівнюються ім'я і пароль зі значеннями з бази даних, так що для успішної перевірки змінна $ session повинна містити правильну інформацію.
Крім того, при перевірці функція checkUser () повертає дані, пов'язані з клубом. Сторінки для перевірки членів клубу можуть працювати з цими даними.
Коли викликається функція checkUser () в програмі updateclub.php, що повертається їй значення...
