rlmcintyre: BoosterPack/logintets/login.phps annotate

annotate BoosterPack/logintets/login.phps @ 0:0d795f02a8bb tip

initial committ. what was I thinking?

author	Robert McIntyre <rlm@mit.edu>
date	Mon, 27 Sep 2010 16:57:26 -0400
parents
children

rev	line source
rlm@0	1 <code><font color="#000000">
rlm@0	2 <font color="#0000BB"><?php
rlm@0	3 </font><font color="#FF8000">/***********************
rlm@0	4 Makes use of two MySQL tables.
rlm@0	5
rlm@0	6 users:
rlm@0	7 CREATE TABLE `users` (
rlm@0	8   `id` int(11) NOT NULL auto_increment,
rlm@0	9   `username` varchar(20) default NULL,
rlm@0	10   `password` varchar(40) default NULL,
rlm@0	11   `fullname` varchar(30) default NULL,
rlm@0	12   PRIMARY KEY  (`id`)
rlm@0	13 ) TYPE=MyISAM
rlm@0	14
rlm@0	15 seeds:
rlm@0	16 CREATE TABLE `seeds` (
rlm@0	17   `id` int(11) NOT NULL auto_increment,
rlm@0	18   `seed` timestamp(14) NOT NULL,
rlm@0	19   PRIMARY KEY  (`id`)
rlm@0	20 ) TYPE=MyISAM
rlm@0	21
rlm@0	22 */
rlm@0	23
rlm@0	24 // connect to mysql
rlm@0	25 </font><font color="#0000BB">$mysql </font><font color="#007700">= </font><font color="#0000BB">mysql_connect</font><font color="#007700">(</font><font color="#DD0000">'localhost'</font><font color="#007700">,</font><font color="#DD0000">'###USERNAME###'</font><font color="#007700">,</font><font color="#DD0000">'###PASSWORD###'</font><font color="#007700">);
rlm@0	26
rlm@0	27 </font><font color="#FF8000">// fail on database errors
rlm@0	28 </font><font color="#007700">if (!</font><font color="#0000BB">$mysql</font><font color="#007700">) {
rlm@0	29     die(</font><font color="#DD0000">'false\|Could not connect to MySQL'</font><font color="#007700">);
rlm@0	30 }
rlm@0	31
rlm@0	32 </font><font color="#FF8000">// connect to the database
rlm@0	33 </font><font color="#0000BB">mysql_select_db</font><font color="#007700">(</font><font color="#DD0000">'jamesdam_ajaxlogin'</font><font color="#007700">, </font><font color="#0000BB">$mysql</font><font color="#007700">);
rlm@0	34
rlm@0	35 </font><font color="#FF8000">// one task of the server is to provide random values to hash with
rlm@0	36 </font><font color="#007700">if (</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'task'</font><font color="#007700">]==</font><font color="#DD0000">'getseed'</font><font color="#007700">)
rlm@0	37 {
rlm@0	38     </font><font color="#0000BB">mysql_query</font><font color="#007700">(</font><font color="#DD0000">'INSERT INTO seeds VALUES()'</font><font color="#007700">); </font><font color="#FF8000">// insert a new row with default values
rlm@0	39
rlm@0	40     // get the values from the row back
rlm@0	41     </font><font color="#0000BB">$result </font><font color="#007700">= </font><font color="#0000BB">mysql_query</font><font color="#007700">(</font><font color="#DD0000">'SELECT id, seed FROM seeds ORDER BY id DESC LIMIT 1'</font><font color="#007700">);
rlm@0	42
rlm@0	43     if (!</font><font color="#0000BB">$result</font><font color="#007700">) { </font><font color="#FF8000">// fail on error
rlm@0	44         </font><font color="#007700">die(</font><font color="#DD0000">'false\|'</font><font color="#007700">.</font><font color="#0000BB">mysql_error</font><font color="#007700">());
rlm@0	45     }
rlm@0	46
rlm@0	47     </font><font color="#0000BB">$row </font><font color="#007700">= </font><font color="#0000BB">mysql_fetch_assoc</font><font color="#007700">(</font><font color="#0000BB">$result</font><font color="#007700">); </font><font color="#FF8000">// only one row so take the first row
rlm@0	48     </font><font color="#007700">echo(</font><font color="#0000BB">$row</font><font color="#007700">[</font><font color="#DD0000">'id'</font><font color="#007700">].</font><font color="#DD0000">'\|'</font><font color="#007700">.</font><font color="#0000BB">$row</font><font color="#007700">[</font><font color="#DD0000">'seed'</font><font color="#007700">]);  </font><font color="#FF8000">// write back the data in form id\|random_value
rlm@0	49 </font><font color="#007700">}
rlm@0	50
rlm@0	51 </font><font color="#FF8000">// the other task of the server is to check a username/password combination
rlm@0	52
rlm@0	53 </font><font color="#007700">else if (</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'task'</font><font color="#007700">]==</font><font color="#DD0000">'checklogin'</font><font color="#007700">) {
rlm@0	54     </font><font color="#FF8000">// formulate query for username
rlm@0	55     </font><font color="#0000BB">$sql </font><font color="#007700">= </font><font color="#DD0000">'SELECT * FROM users WHERE username = \'' </font><font color="#007700">. </font><font color="#0000BB">mysql_real_escape_string</font><font color="#007700">(</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'username'</font><font color="#007700">]) . </font><font color="#DD0000">'\''</font><font color="#007700">;
rlm@0	56     </font><font color="#0000BB">$result </font><font color="#007700">= </font><font color="#0000BB">mysql_query</font><font color="#007700">(</font><font color="#0000BB">$sql</font><font color="#007700">);
rlm@0	57
rlm@0	58     </font><font color="#FF8000">// fail on sql failure
rlm@0	59     </font><font color="#007700">if (!</font><font color="#0000BB">$result</font><font color="#007700">)  {
rlm@0	60         die(</font><font color="#DD0000">'false\|Could not connect to login database.  Please try again'</font><font color="#007700">);
rlm@0	61     }
rlm@0	62
rlm@0	63     </font><font color="#FF8000">// get the first user with username in the table (should only be one)
rlm@0	64     </font><font color="#0000BB">$user_row </font><font color="#007700">= </font><font color="#0000BB">mysql_fetch_assoc</font><font color="#007700">(</font><font color="#0000BB">$result</font><font color="#007700">);
rlm@0	65
rlm@0	66     </font><font color="#FF8000">// if there isn't one
rlm@0	67     </font><font color="#007700">if (!</font><font color="#0000BB">$user_row</font><font color="#007700">)
rlm@0	68     {
rlm@0	69         </font><font color="#FF8000">// then the username doesn't exist, but don't let the user know that this is the problem
rlm@0	70         // rather inform them more vaguely that the combination is incorrect; prevents someone from
rlm@0	71         // fishing for valid usernames
rlm@0	72         </font><font color="#007700">die(</font><font color="#DD0000">'false\|Invalid username and password combination.'</font><font color="#007700">);
rlm@0	73     }
rlm@0	74
rlm@0	75     </font><font color="#FF8000">// formulate query for random timestamp for given id
rlm@0	76     </font><font color="#0000BB">$sql </font><font color="#007700">= </font><font color="#DD0000">'SELECT * FROM seeds WHERE id=' </font><font color="#007700">. (int)</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'id'</font><font color="#007700">];
rlm@0	77     </font><font color="#0000BB">$result </font><font color="#007700">=  </font><font color="#0000BB">mysql_query</font><font color="#007700">(</font><font color="#0000BB">$sql</font><font color="#007700">);
rlm@0	78
rlm@0	79     </font><font color="#FF8000">// die if no value for given id
rlm@0	80     </font><font color="#007700">if (!</font><font color="#0000BB">$result</font><font color="#007700">) {
rlm@0	81         die(</font><font color="#DD0000">'false\|Unknown error (hacking attempt).'</font><font color="#007700">);
rlm@0	82     }
rlm@0	83
rlm@0	84     </font><font color="#FF8000">// get the first (only) seed
rlm@0	85     </font><font color="#0000BB">$seed_row </font><font color="#007700">= </font><font color="#0000BB">mysql_fetch_assoc</font><font color="#007700">(</font><font color="#0000BB">$result</font><font color="#007700">);
rlm@0	86
rlm@0	87     </font><font color="#FF8000">// fail if no row
rlm@0	88     </font><font color="#007700">if (!</font><font color="#0000BB">$seed_row</font><font color="#007700">) {
rlm@0	89         die(</font><font color="#DD0000">'false\|Unknown error (hacking attempt).'</font><font color="#007700">);
rlm@0	90     }
rlm@0	91
rlm@0	92     </font><font color="#FF8000">// if the md5 hashes are equal to those generated by the clientside js
rlm@0	93     </font><font color="#007700">if (</font><font color="#0000BB">md5</font><font color="#007700">(</font><font color="#0000BB">$user_row</font><font color="#007700">[</font><font color="#DD0000">'password'</font><font color="#007700">] . </font><font color="#0000BB">$seed_row</font><font color="#007700">[</font><font color="#DD0000">'seed'</font><font color="#007700">]) == </font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'hash'</font><font color="#007700">]) {
rlm@0	94         </font><font color="#FF8000">// logged in
rlm@0	95         </font><font color="#007700">echo(</font><font color="#DD0000">'true\|' </font><font color="#007700">.  </font><font color="#0000BB">$user_row</font><font color="#007700">[</font><font color="#DD0000">'fullname'</font><font color="#007700">]);
rlm@0	96
rlm@0	97         </font><font color="#FF8000">// now remove the random key that was made for this request
rlm@0	98         </font><font color="#0000BB">mysql_query</font><font color="#007700">(</font><font color="#DD0000">'DELETE FROM s WHERE id=' </font><font color="#007700">. (int)</font><font color="#0000BB">$_GET</font><font color="#007700">[</font><font color="#DD0000">'id'</font><font color="#007700">]);
rlm@0	99     }
rlm@0	100     else
rlm@0	101     {
rlm@0	102         </font><font color="#FF8000">// not logged in.. incorrect password
rlm@0	103         </font><font color="#007700">die(</font><font color="#DD0000">'false\|Invalid username and password combination.'</font><font color="#007700">);
rlm@0	104     }
rlm@0	105 }
rlm@0	106 </font><font color="#0000BB">?></font>
rlm@0	107 </font>
rlm@0	108 </code>

Mercurial > rlmcintyre

annotate BoosterPack/logintets/login.phps @ 0:0d795f02a8bb tip