если авторизация прошла успешно, то сохрани это в сезоне, например в $_SESSION['user_id'] написать ид юзера

на других страницах

session_start();
if(!isset($_SESSION['user_id']) ){
на регистрацию
exit;
}
........

к стате в mysql можно тоже мд5 применять
WHERE `login` = md5('".mysql_real_escape_string($m_login)."')

к стате в mysql можно тоже мд5 применять
WHERE `login` = md5('".mysql_real_escape_string($m_login)."')

а так он md5 еще раз зашифрует что ли?! если так то нужно еще

$m_pass=md5(md5($_POST['pass']));

поидее должно пахать

спасибо, щас пробовать буду

да просто не надо $m_pass=md5($_POST['pass']) делатъ. один раз и в mysql достаточно.
С сезоном разобрался? или сомнения?

так у меня бд зашифровано уже

А я в базе данных не шифрую, чтоб знать все про всех пользователей =)

чет у меня не так((
вот глядите, я созал кароче auto.php
его содержание

<? include "./config.php";

$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
//if ((strlen($m_login) > 15) || (!$m_login) || (ereg("[^a-zA-Z0-9_-]",$m_login))){@header("Location: ".$host."error.php?id=20");exit;};
//if ((strrpos($m_pass,' ') > 0) || (strlen($m_pass) > 15) || (!$m_pass) || (ereg("[^a-zA-Z0-9_-]",$m_pass))){@header("Location: ".$host."error.php?id=20");exit;};

@$result=mysql_query("SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1' LIMIT 1;") or die (mysql_error());
if (!empty($result)){
while($row = @mysql_fetch_array($result, MYSQL_ASSOC)){
$y_login=$row['username'];
$y_pass=$row['password'];
}
if ($y_login != "" && $y_pass != ""){
if ($y_login == $m_login && $m_pass == $y_pass){$pidr="LOX";
$rows = mysql_fetch_assoc($result);
$_SESSION['user_id'] = $rows['id'];
echo "да";}else
{
$pidr="YOU";
}
}else{@header("Location: ".$host."error.php?id=20");exit;}
@mysql_free_result($result);
}else{@header("Location: ".$host."error.php?id=20");exit;}
if ($pidr != "LOX"){@header("Location: ".$host."error.php?id=20");exit;}

?>

в форме у меня все нормуль, но вот сессия чет не пашет((
вот я просто загружаю файл(содержание файла)

<? include "./config.php";
session_start();
if (isset($_SESSION['user_id'])) {
?>
содержание страницы
<? }
else {
    die('Вы не авторизованы!');
} ?>

мне выводит "Вы не авторизованы!" хотя поидее я записал сессию, поглядите что не так

<?
include "./config.php";
$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
$query="SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1' LIMIT 1";
$result=mysql_query($query) or die (mysql_error());
if (!empty($result))
	{
	while($row = mysql_fetch_array($result, MYSQL_ASSOC))
		{
		$y_login=$row[username];
		$y_pass=$row[password];
		}
	if (($y_login==$m_login)&&($m_pass==$y_pass))
		{
		$rows = mysql_fetch_assoc($result);
		$_SESSION[user_id] = $rows[id];
		echo "Авторизация ура!!!";
		}
		else $status=false;
	}
	else header("Location: ".$host."error.php?id=20");
if ($status!= true) header("Location: ".$host."error.php?id=20");
?>

Для начала так, не знаю будет ли работать, потому что не тестировал.

В файл config.php
добавь session_start(); следственно в другие файлы не надо будет каждый раз включать эту строку

PS: Прочитай ка голубчик эту статью http://www.php.su/lessons/?lesson_13 ОБЯЗАТЕЛЬНО.

KaFe
извините за корявый код.. я просто через блокнот делаю, а там не так уж и удобно..
вот твой код не пашет, а в моем принцип тот же(точнее твой чуть переделан)

<? include "./config.php";
$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
@$result=mysql_query("SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1' LIMIT 1;") or die (mysql_error());

if (!empty($result))
 {
  while($row = @mysql_fetch_array($result, MYSQL_ASSOC))
  {
  $y_login=$row['username'];
  $y_pass=$row['password'];
  }
  if ($y_login != "" && $y_pass != "")
  {
  if ($y_login == $m_login && $m_pass == $y_pass)
   {
    $pidr="LOX";
    $rows = mysql_fetch_assoc($result);
    $_SESSION['user_id'] = $rows['id'];
    echo "да";
    }
   else
   {
   $pidr="YOU";
   }
   }
   else
   {
   @header("Location: ".$host."error.php?id=20");
   exit;
   }
   @mysql_free_result($result);
   }
 else
 {
 @header("Location: ".$host."error.php?id=20");
 exit;
 }  
 
 if ($pidr != "LOX"){
 @header("Location: ".$host."error.php?id=20");
 exit;
 }
?>

в confing я добавил, вот терь что я в файле сделал

<?
include "./config.php";
if(!isset($_SESSION['user_id']) )
 {
 die('Вы не авторизованы!');
 exit;
 }
?>
содержание страницы

все равно не хочет пазать, может что с сессиями? куда нить может записывать нужно?

 echo "да";
    }
   else
   {
   $pidr="YOU";

Что за быдлокод?

а по теме: что-то я нигде session_start не вижу...
Поставь в самом начале файла, прямо после <? session_start();

я на сколько понимаю, ты config.php везде инклудируеш.
тогда session_start() делай в config.php и причем в первой строчке чтоб не одного пробела перед ним небыло.

немного критики:
используй во время разработки error_reporting(E_ALL); и mysql_error() после mysql_query, mysql_connect.
не используй mysql_fetch_(array|assoc|object|row) до тех пор, пока не убедился, что вообще чтото найдено (mysql_num_rows)
про @ забудь вообще, потому что у помогающих создается впечитление, что ты себе сам помоч не хочеш.

к стате переменная $pidr='YOU' заставляет глубоко задуматся

$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
$query="SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1'";
$result=mysql_query($query) or die (mysql_error());
if (mysql_num_rows($result))
	{
	while($row = mysql_fetch_array($result, MYSQL_ASSOC))
		{
		$y_login=$row[username];
		$y_pass=$row[password];
		$y_id=$row[id];
		}
	if (($y_login==$m_login)&&($m_pass==$y_pass))
		{
		$_SESSION[user_id] = $y_id;
		echo "Авторизация ура!!!"; $status=true;
		}
		else $status=false;
	}
	else header("Location: ".$host."error.php?id=20");
if ($status!= true) header("Location: ".$host."error.php?id=20");

Посмотрев на твой код, в душе мое выражение лица соответствовало твоей аватарке.

<?php 
$m_login=mysql_escape_string($_POST['login']);
$m_pass=md5($_POST['pass']);

$res = mysql_query("SELECT `id` FROM `users` WHERE `login` = '{$m_login}' and `pass` = '{$m_pass}' and `active` = 1 LIMIT 1");
if (mysql_num_rows($res) == 1) {
  $_SESSION['logged'] = true;
}
?>

Вроде ниче не забыл (я щас просто сонный )

Revan хоть кто то заметил, что у меня замечательная ава , насчет кода скажу, что это дело вкуса.
Ибо сам программист должен выбирать где ему включать логику, при выборке из БД(в sql запросе), либо в php скрипте.
Мне нравится твой вариант, даже очень.

в confing.php у меня первые 2 строчки вот:

<?
session_start();

хА-получилось!!!!!!! спасибо за помощь, но это не все думаю, подскажите что убрать и тп.. что поставить, я вот пока все собачки убрал

<? include "./config.php";

$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
$result=mysql_query("SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1' LIMIT 1;") or die (mysql_error());

if (!empty($result))
 {
  while($row = @mysql_fetch_array($result, MYSQL_ASSOC))
  {
  $y_login=$row['username'];
  $y_pass=$row['password'];
  $y_id=$row['id'];
  }
  if ($y_login != "" && $y_pass != "")
  {
  if ($y_login == $m_login && $m_pass == $y_pass)
   {
    $pidr="LOX";
    $_SESSION['user_id'] = $y_id;
    echo "да";
    }
   else
   {
   $pidr="YOU";
   }
   }
   else
   {
   header("Location: ".$host."error.php?id=20");
   exit;
   }
   mysql_free_result($result);
   }
 else
 {
 header("Location: ".$host."error.php?id=20");
 exit;
 }  
 
 if ($pidr != "LOX"){
 header("Location: ".$host."error.php?id=20");
 exit;
 }

?>

тока пожалуйста с примером, то что SlavaFr написал, я несовсем догнал, что куда добавить а может тупеею уже

вот еще куки хочу сделать

<?
include "./config.php";

    if (isset($_COOKIE['login']) && isset($_COOKIE['pass'])) {

        $login = mysql_real_escape_string($_COOKIE['login']);
        $password = mysql_real_escape_string($_COOKIE['pass']);


        $query = "SELECT * FROM `xbtit_users` WHERE `username` = '{$login}' AND `password`='{md5($password)}' AND `active` = '1' LIMIT 1;";
        $sql = mysql_query($query) or die(mysql_error());

        if (mysql_num_rows($sql) == 1) {


            $row = mysql_fetch_assoc($sql);
            $_SESSION['user_id'] = $row['id'];

        }
}

elseif(!isset($_SESSION['user_id']) )
{
die('Вы не авторизованы!');
exit;
}
?>

по кукам не заходит.. в поля мозила подставляет, при авторизации

А ты знаешь как проводить авторизацию по кукам? куки это не сессии.
Если всё с авторизацией ОК то создаёшь куку с какой нибудь бессмысленной информацией желательно с хэшем случайной сгенерированой строки, затем этот хэш записываешь в куку и в базу например в поле hash. потом в файле проверки проверяешь существует ли кука и если существует делаешь запрос в базу что-то типа этого
SELECT `user_id` FROM `users` WHERE `hash` = '".mysql_real_escape_string($_COOKIE['hash'])."'
Если найдено что-нибудь можешь вытащить его айди в сессию или делать такое на каждой странице в общем выбирай сам.
Ни когда не ложи в куку идентификатор, логин, пароль или мэйл пользователя (куки хранятся у юзера на компе) я смогу открыть эту куку и прописать любой айди или логин и авторизоваться не под своим аккаунтом.

Soldier Ghost
ну вобщем я хочу чтобы он из браузера вытаскивал пароль логин и авторизировал(сессии наверно это, сори за мои знания)
я чуть поже вернусь к этому

ясно, с сезоном ты не разобрался.

Принцип работы.
Юзер заходит на любую страницу на которой его идентификация имеет значение.
Смотрим посажено ли у него $_SESSION['user_id']
если нет:
то отсылаем его на страницу где он должен регистрироватся.
или показываем ему содержимое которое можно и без регистрации показать.
в противном случае (т.е. $_SESSION['user_id'] посажена) показываем ему всю страницу и ее часть которая разрешена только для этого юзера.

---------------
На странице где происходит регистрация ты проверяеш введенные данные (можно и в кексы заглянуть) и при успешной регистрации садиш в $_SESSION['user_id'] ид этого юзера и после этого ты можеш отослать юзера на страницу с которой он пришол

tmt0086 я тебе кидал нормальный код в котором все более или менее идет зафига же ты свой быдло здесь выложил?

Тебе я больше не помогаю

P.S:не приятно смотреть на твои переменные $pidr и их значения "LOX".

KaFe
я уберу эти переменные.. хорошо, с $_SESSION['user_id'] у меня все пашет, но тока если браузер закрываю, то потом повторно нужно пасс и лог вводить.. Потому что из браузера cookie он не проверяет..

<? include "./config.php";

$m_login=$_POST['login'];
$m_pass=md5($_POST['pass']);
$result=mysql_query("SELECT * FROM `xbtit_users` WHERE `username` = '".$m_login."' AND `active` = '1' LIMIT 1;") or die (mysql_error());

if (!empty($result))
 {
  while($row = @mysql_fetch_array($result, MYSQL_ASSOC))
  {
  $y_login=$row['username'];
  $y_pass=$row['password'];
  $y_id=$row['id'];
  }
  if ($y_login != "" && $y_pass != "")
  {
  if ($y_login == $m_login && $m_pass == $y_pass)
   {
    $people="YOU";
    $_SESSION['user_id'] = $y_id;
    echo "<script type=\"text/javascript\" defer>
window.setTimeout(\"document.location.href='/new/user.php'\", 2000);
</script>";
    }
   else
   {
   $people="NO";
   }
   }
   else
   {
   header("Location: ".$host."error.php?id=20");
   exit;
   }
   mysql_free_result($result);
   }
 else
 {
 header("Location: ".$host."error.php?id=20");
 exit;
 }  
 
 if ($people != "YOU"){
 header("Location: ".$host."error.php?id=20");
 exit;
 }

?>

вот поправил эти переменные вот тока зачем минусы то сразу клацать? незачто..

tmt0086 знаешь почему быдло код и минус?

Зачем тебе это

mysql_free_result($result);

 header("Location: ".$host."error.php?id=20");
 exit;

А зачем когда ты перенаправляешь со страницы потом еще и останавливаешь скрипт

die(header("Location: ".$host."error.php?id=20"));

  if ($y_login != "" && $y_pass != "")
  {

Это здесь зачем, у тебя в базе будут пустые значения логинов и паролей

Я обосновал???

Даже не вздумай этот бред читать тут лучше читай: http://irbis-team.com/15/7

Soldier Ghost а чем тебя это не устраивает http://php.su/functions/?cat=session

tmt0086
этот скрипт спит и видит чтоб его поломали тебе же ясно сказали не храни в кукак ни пароль не пользователя хеш подобрать трудно но возможно в криптографии существует понятие трудных задач вот восстановление пароля из хеша это и есть трудная задача и кто му же существует недоказуемая и не опровергаемая теория о том что трудных задач не существует т.е. любой алгоритм обротим.

ломка кексов это дело опасное, но все зависет от софта. Этот форум тоже разрешает благодоря кукам сразу без регистрации заходить.
предпологаю, что этот кекс за это отвичает:
pass_hash=ххххххххххххх;
и зная этот хэш можно зарегистрироватся, изменить пассворд и от имени другого юзера всем карму на 100 пунктов понизить
так что если кексы украли, то абсолютно одинаково или ты имя с пассворт в куках хранить или хэш, результат будет абсолютно одинаковым.

Нет не соглашусь я с тобой, ломонув его пароль могут так же ламонуть и его мэйл или ещё чегонить вдруг пароль у него везде один и тот же. поэтому пароль нельзя хранить в куках.

SlavaFr
против смены пассворда
против этого есть метода для того чтобы сменить пассворд надо указать текущий если чел в ломился через куки то пароль он соответственно не знает. но вот карму всем минусануть он может.

ну это надо вообще быть ненормальным если везде одинаковым паролем пользоватся, в данном случае юзер сам виноват.
А в общем соглашусь, что хэш лучше защитит юзера, но к сожалению не спасет твой софт от возможных последствий украденых кексов.

DedMorozzz
для чего минусовать с левого акаунта ??? Смысл а так это показать что ты хакер ломанул ламовский форум вот вам .......

а еще можно личку поглядеть у меня там такого понаписано .............

KaFe
считаю необосновано! так как я УЧУСЬ еще, и много чего еще не знаю..
посмотрел бы как ты учился, и как приятно когда те минусы ставят.. когда ты просишь посмотреть что не так в коде, и сказать что исправить и для чего(объяснить что не так) а не просто тупо мне готовый дать, конечно тебе СПАСИБО!!! а то что я бы его скопировал, смысла нету, тк непонятно все равно хочешь ставь минусы.. как то пофиг, ниче не решает

SlavaFr
хочит и пользуется может не способен чел кроме клички кота никакой пароль запомнить что ему в инет не ходить

решено в целях безопасности куки не использовать.. А если юзер их сохраняет, то их же тоже стянуть можно.. И расшифровать.. так же зайдет (так хотя сложнее)

Я согласен, что пассворт не должен появлятся в кексах.
DedMorozzz спасибо что поставил на место.

$pass='мать перемать';
$out_pass=md5(md5($pass));

Вроде бы обычный md5, но расшифровать будет не реально сложно. Такой можно использовать в куках.Имхо.
tmt0086 Не вижу смысла тебя учить так как сам еще учусь.

KaFe
еще один чем сложно ?????
http://ru.wikipedia.org/wiki/MD5#.D0.9A.D1....BB.D0.B8.D0.B7

вот

Basili4 И?

есть еще такой момент. Можно зашифровать куку по известному ключу. Функции mcrypt и подобные

Ice
так куки же браузер шифрует? и смысл его шифровать, если тока у тя одного будет зашифровано..

я об этом:

$iv_size = mcrypt_get_iv_size( MCRYPT_BLOWFISH, MCRYPT_MODE_ECB );
$iv = mcrypt_create_iv( $iv_size, MCRYPT_RAND );
$key = "Никто ничего не узнает";
$text = "Завтра в сквере, возле театра. В 5."; //(с)

// поехали
$crypttext = mcrypt_encrypt( MCRYPT_BLOWFISH, $key, $text, MCRYPT_MODE_ECB, $iv );
setcookie('secret', $crypttext, time()+3600, '', '', false, true); // включен параметр httponly
print $_COOKIE['secret']; // Є‰s]1Jі*фЅ"l*зКKз=’1%H‰К‚ЃЈbEUo!·ђ[хcyfh|NZshъЊ$BS:C4I€ЮОФ

// расшифровываем
$decrypttext = mcrypt_decrypt( MCRYPT_BLOWFISH, $key, $_COOKIE['secret'], MCRYPT_MODE_ECB, $iv );
print $decrypttext;

я если чесно ничего не понимаю щас рано еще такое.. попоже чуть дойду и до этого