Gjest Slettet-aNZFa3 Skrevet 1. mai 2008 Del Skrevet 1. mai 2008 (endret) Jeg startet med php for noen dager siden, og har mekket sammen et login skript, har latt merke til at man kan bruke cookies for å sjekke om en brukerID er logget på eller ikke, men da kommer problemet, brukeren kan bare redigere cookien slik at brukerID'n er det samme som adminID'n. Og det vil jeg helst slippe. Kodene er sikkert også endel rotete siden alt er skriptet fra scratch. Men jeg legger opp de to mest relevante. Klikk for å se/fjerne innholdet nedenfor index.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Untitled Document</title> <link href="style.css" rel="stylesheet" type="text/css" /> </head> <body > </body> </html> <?php include "vars.php"; include "connect.php"; $date = date(); echo "<table width='750' height='550' border='0'>"; /*Banner:\ echo "<tr>"; echo "</tr>"; */ echo "<tr>"; if (isset($_COOKIE["loggedIn"])) { $user = $_COOKIE['loggedIn']; $result = mysql_query("SELECT * FROM users WHERE ID='$user'"); $row = mysql_fetch_array($result); $mod = $row['mod']; $admin = $row['admin']; echo "<td valign='top' width='200'> <a title='Go home!' href='index.php'>Home</a> <p> <a title='Produce some massive hardware' href='hardware.php'>Produce hardware</a> <p> <a title='Sell som of your friends massive hardware' href='sell.php'>Sell hardware</a> <p> <a title'Check your messages' href='messages.php'>You have [tall] messages</a> <p>"; if ($admin == 1) { echo "<a href title='Administration' href='admin.php'>Administration</a><p>"; } if ($mod == 1) { echo "<a title='Moderation' href='mod.php'>Moderation</a>"; } echo "<p><a href='buy.php'>Buy hardware</a>"; echo "<p><a href='logout.php'>Logout</a>"; echo "</td>"; echo "<td valign='top' halign'left'> <p> You have "; echo $row['money']; echo " kr <br> The date today is: "; echo date("d F Y"); echo "<br> The time is: "; echo date("G\:i\:s"); echo "</td>"; } else { echo "<td valign='top' halign='left'> Login: <form action='login.php' method='post'> Username: <input type='text' name='Username' /><br> Password: <input type='password' name='Password' /><br> <input type='submit' value='Login' /></form> <p> <p> Create user: <form action='create.php' method='post'> Username*: <input type='text' name='Username' /><br> Password*: <input type='password' name='Password' /><br> E-mail*: <input type='text' name='Email' /><br> <input type='submit' value='Create User' /></form>"; } echo "</tr>"; echo "</table>"; mysql_close($con); ?> login.php <?php include "vars.php"; include "connect.php"; $username = $_POST['Username']; $password = $_POST['Password']; $result = mysql_query("SELECT * FROM users WHERE username='$username'"); $row = mysql_fetch_array($result); if ($password == $row['password']) { $ID = $row['ID']; //$loggedIn = 1; setcookie("loggedIn", $ID); echo "Logged in succeded"; echo "<br><a title='Return' href='index.php'>Return</a>"; } else { echo "Logged in failed"; } mysql_close($con); ?> Endret 1. mai 2008 av Slettet-aNZFa3 Lenke til kommentar
Arne Skrevet 2. mai 2008 Del Skrevet 2. mai 2008 Du kan jo gjøre det slik at du starter en session samtidig som du lager cookien når brukeren logger inn, og så sjekker du for hver side om cookien og sessionen samsvarer. Hvis de gjør det, så viser du innholdet, hvis ikke, IP-banner du brukeren. Lenke til kommentar
Dryper Skrevet 2. mai 2008 Del Skrevet 2. mai 2008 Du kan jo gjøre det slik at du starter en session samtidig som du lager cookien når brukeren logger inn, og så sjekker du for hver side om cookien og sessionen samsvarer. Hvis de gjør det, så viser du innholdet, hvis ikke, IP-banner du brukeren. <?include("config.php"); $ip = $_SERVER['REMOTE_ADDR']; $find_ip = mysql_query("SELECT * FROM bannlyst WHERE ip='$ip'"); $ban = mysql_fetch_array($find_ip); $grunn = $ban['grunn']; if($ip == $ban['ip']){ die("<center><h1>Du er bannlyst fra denne siden!</h1></br><h1>Grunn: $grunn</h1></br><img src='images/hitler.jpg'></br>Dont be one of the bad guys</center><embed src='images/authority.wav' autostart='true' hidden='true' loop='false' volume='100' /><META HTTP-EQUIV='Refresh' CONTENT='10; URL=http://www.thatsnotsexy.com/'>"); } ?> Kunne ikke dy meg Tabellen er bare lagt av 3 kolonner 1. id 2. grunn 3. ip Du kan jo lett fikse om du vil ha flere ting i det Lenke til kommentar
Garanti Skrevet 2. mai 2008 Del Skrevet 2. mai 2008 Tror du bør fjerne den URL-en, Dryper Lenke til kommentar
jorgis Skrevet 2. mai 2008 Del Skrevet 2. mai 2008 Å kun lagre en brukerid i en cookie gir _ingen_ reell sikkerhet i det hele tatt. En inntrenger kan da bare lage sin egen cookie, og sette verdien til en kjent brukerid (f.eks. administratorens brukerid, eller bare id=1 (som trolig da også vil være en admin)), og så komme seg rett inn. En lurere måte er; 1. Bruk sessions istedet for cookies. I prinsippet fungerer det likt, men med en _vesentlig_ forskjell; verdien lagres aldri hos brukeren, den lagres på serveren. Brukeren kan dermed ikke selv manipulere verdien av en session. (men den kan likevel manipuleres, spesielt i shared hosting-miljøer) 2. Ikke lagre innhold i en cookie/session som er lett å spoofe. Det klassiske eksempelet er; if ($_COOKIE['logged_in'] == true) { logged_in(); } Det samme gjelder brukerid, brukernavn, og andre ting. Klartekst-passord bør du også styre laaangt unna, da det fører til store problemer hos f.eks. nettsjapper. Ideelt sett bør du kun i en cookie (hvis du ikke kan bruke sessions, f.eks. om du ønsker at data varer på tvers av reboots) lagre en unik id som representerer cookien, og sørge for å kontrollere den mot gyldige data som allerede ligger lagret. Et greit eksempel er å lagre en modifisert passord-hash i en cookie, slik at du kan sjekke at hashen matcher brukerens passord for hver gang. Dette gjør det veldig vanskelig å spoofe/lure seg inn. Kanskje dette er litt over hodet ditt nå, men det er veldig lurt å ha sikkerhet i bakhodet fra start, og det er veldig flott at du spør her hvordan du kan gjøre ting sikrere. Forsøk å tenk gjennom og implementér de ideene jeg har kommet med her, og ikke nøl med å spørre om det er noe du lurer på. Lenke til kommentar
FrodeNilsen Skrevet 5. mai 2008 Del Skrevet 5. mai 2008 ...Brukeren kan dermed ikke selv manipulere verdien av en session. (men den kan likevel manipuleres, spesielt i shared hosting-miljøer) ... Dette er ett tema jeg ikke er særlig stødig på. Jeg likte godt versjonen med en hash som ekstra sikkerhet i en cookie. Du skriver også at det er mulig å manipulere verdiene i en session, hvordan gjøres dette? Er det noen spesielle feller vi bør være oppmerksomme på? Jeg har også hørt noen argumentere for at det burde opprettes sertifikater som både klient og server må ha for å godta admin loggin, men jeg har aldri satt noe slikt opp. Er det noe poeng å låse en cookie opp mot IP, OS, og Nettleser? Jeg har forstått at i enkelte settinger vil brukerene bytte ip hyppig så ip låsing må kunne skrus av. Jeg ser bare ikke helt behovet for å tillate slik fristilling på admin kontoer, da en høy-admin utelukkende burde logge inn over kjente og stabile nettverk. Lenke til kommentar
Lokaltog Skrevet 5. mai 2008 Del Skrevet 5. mai 2008 Du skriver også at det er mulig å manipulere verdiene i en session, hvordan gjøres dette? Er det noen spesielle feller vi bør være oppmerksomme på? Jeg tror dette er et problem i dårlig sikrede miljøer der flere deler samme webhost, og dette er vel primært et problem hvis man bruker filbaserte sessions. Da kan jeg liste opp og kanskje til og med redigere filer i mappen som inneholder session-data for andres nettsider, og dermed enkelt bryte meg inn på andre nettsider som ligger på samme host. Den sikreste måten å unngå dette på er så vidt jeg vet å ha en databasebasert session-handler, der man evt. også knytter opp hver session mot en IP. Mulig jeg tar feil, men jeg tror det er noe slikt jorgis tenker på. Hvis du bruker sessions som lagres på en sikker databaseserver, i tillegg til HTTPS, saltede passord som hashes med en annen algoritme enn MD5 (f.eks. SHA-2) og sessions som også knyttes opp mot IP, så tror jeg det skal mye til for å klare å bryte seg inn på et adminpanel. Jeg vet at jorgis kan mye om sikkerhet her, så jeg håper han kan opplyse oss litt i tilfelle jeg tar feil. Lenke til kommentar
jorgis Skrevet 5. mai 2008 Del Skrevet 5. mai 2008 Jeg har også hørt noen argumentere for at det burde opprettes sertifikater som både klient og server må ha for å godta admin loggin, men jeg har aldri satt noe slikt opp. Hvis du har virkelig har så hardt fokus på sikkerhet (om du drifter en nettbank, omtrent), bør du finne deg en eller flere sikkerhets-konsulenter som kan guide deg på dette. Å drive med SSL (HTTPS som Lokaltog nevnte) eller fler-faktor-autentisering er ting som har en veldig høy stress-per-nytte-ratio, om du skjønner. Du kan gå kokobananas med sikkerheten, men tilslutt vil du nå et punkt der en må ofre noe for den økte sikkerheten (annet enn ren utviklingstid). SSL og fler-faktor reduserer f.eks. brukervennlighet og installasjons-enkelhet veldig. Litt "enklere" ting som SQL-injeksjoner, include-sårbarheter og XSS er som regel det som knekker en webapplikasjon først, ikke slike mer avanserte teknikker. Sørg først og fremst for at du ikke er sårbar for disse tingene før du vurderer og/eller implementerer SSL, egendefinerte session-håndterere eller fler-faktor-autentisering. Det er kun en målbevisst angriper med gode kunnskaper som vil klare å bryte seg inn om du har en god basis-sikkerhet, og erfaring sier at de fleste som angriper webapplikasjoner er script-kiddies eller helautomatiserte scripts kjørt av ormer. Er det noe poeng å låse en cookie opp mot IP, OS, og Nettleser? Jeg har forstått at i enkelte settinger vil brukerene bytte ip hyppig så ip låsing må kunne skrus av. Jeg ser bare ikke helt behovet for å tillate slik fristilling på admin kontoer, da en høy-admin utelukkende burde logge inn over kjente og stabile nettverk. Å låse en session mot OS eller Nettleser har ingen nytte for seg, da begge deler kan spoofes veldig veldig enkelt, og bare vil føre til tøys når brukeren oppdaterer nettleser eller OS. Å låse en gitt session til en gitt IP kan derimot være en grei sak, såfremt du kan gjøre det mulig å slå av hvis det blir vanskeligheter. AT&T er f.eks. en av ISPene som er kjent for å bytte brukernes IP-adresser på vilkårlige tidspunkt, og gjerne flere ganger i løpet av få minutter, grunnet ruting gjennom ulike proxier. Om en snakker om en applikasjon som kjører på lokale servere, kan du jo låse admin-kontoen til kun å tillate innlogging fra lokalnettet (192.168.*.*, f.eks.), men da kan en like godt dele ut admin-systemet som en egen applikasjon, og heller kjøre den på et lokalt nettverk som ikke kan nåes utenfra i det hele tatt. Lokaltog: Stemmer. Enkelte webhoster har f.eks. konfigurert PHPs default session-handler til å lagre session-data i /tmp, som er både skrivbar og lesbar for alle systemets brukere. Men så klart, kjører en med delt hosting blir ting mye vanskeligere, det er veldig vanskelig å sørge for at systemet kjører sikkert og godt når en ikke har kontroll over det underliggende systemet. For alt en vet, kan noen ha brutt seg inn på maskinen og feilkonfigurert systemet med hensikt å gjøre det mulig å misbruke applikasjonen din. Lenke til kommentar
Ernie Skrevet 5. mai 2008 Del Skrevet 5. mai 2008 (endret) Lokaltog: Stemmer. Enkelte webhoster har f.eks. konfigurert PHPs default session-handler til å lagre session-data i /tmp, som er både skrivbar og lesbar for alle systemets brukere. Ehh ... nei? /tmp har akkurat det samme opplegget for rettigheter som alle andre mapper i filsystemet. Det du vel nok mener er at på en delt server er det ofte samme bruker/gruppe som aksesserer filene for flere/alle kunder. Det mange ikke er klar over er at dette ikke er begrenset til session, men også enhver fil du har på serveren. Å lagre session i en database vil derfor ikke nødvendigvis gi betydelig økt beskyttelse i og med at andre dermed kan lese og i verstefall også endre filene. Endret 5. mai 2008 av Ernie Lenke til kommentar
FrodeNilsen Skrevet 6. mai 2008 Del Skrevet 6. mai 2008 Lokaltog: Stemmer. Enkelte webhoster har f.eks. konfigurert PHPs default session-handler til å lagre session-data i /tmp, som er både skrivbar og lesbar for alle systemets brukere. Ehh ... nei? /tmp har akkurat det samme opplegget for rettigheter som alle andre mapper i filsystemet. Det du vel nok mener er at på en delt server er det ofte samme bruker/gruppe som aksesserer filene for flere/alle kunder. Det mange ikke er klar over er at dette ikke er begrenset til session, men også enhver fil du har på serveren. Å lagre session i en database vil derfor ikke nødvendigvis gi betydelig økt beskyttelse i og med at andre dermed kan lese og i verstefall også endre filene. Jeg finner ofte at de "smarte" sikkerhetstriksene jeg kommer opp med ikke er så sikre når det kommer til stykket og at det meste jeg kommer opp med egentlig er utprøvd av andre. Jeg jobber mot Apache og PHP, og har egentlig litt problemer med å tro at PHP har svak sikkerhet på session håndtering, men jeg er åpen for innspill. Hvis php lagrer session data like sikkert som vi lagrer php filer på serveren, så er dette milevis over hodet mitt, slik at jeg ikke har nubbsjans til å forbedre sikkerheten til session håndteringen. Jeg er fremdeles litt for svak på rettighets håndteringen under Linux. Noe av det smarteste jeg da kan gjøre er vel heller å lese meg opp på rettighets håndteringen? Jeg har slitt litt med å finne grundig og god litteratur på dette feltet, noen som har gode tips til litteratur? Jeg skal sette opp en liten serverpark til neste år og slik jeg ser det så er jeg det desidert største sikkerhetshullet. Jeg tetter nesten daglig igjen deler av av dette hullet ved å tilegne meg grunnkunskaper hvordan Linux/Apache/PHP/MySQL fungerer, er bygget opp, og hva som er god programerings skikk mot disse. Noen nevnte https som noe eksklusivt. Jeg har fått det inntrykket at https er en god måte å heve sikkerheten til ett nettsted på og noe som er fornuftig å strekke seg etter. Har denne teknikken noen fellende svakhet? Lenke til kommentar
v3g4rd Skrevet 6. mai 2008 Del Skrevet 6. mai 2008 Noen nevnte https som noe eksklusivt. Jeg har fått det inntrykket at https er en god måte å heve sikkerheten til ett nettsted på og noe som er fornuftig å strekke seg etter. Har denne teknikken noen fellende svakhet? Hvis du vil ha SSL-sertifikatet ditt signert av de store gutta som Verisign eller Thawte, koster det en del penger. Utenom det, bruker også web-serveren en god del mer ressurser på å håndtere krypterte sessions enn de som sendes i klartekst. Lenke til kommentar
Gjest Slettet-aNZFa3 Skrevet 7. mai 2008 Del Skrevet 7. mai 2008 (endret) Så, jeg kan bruke sessions på samme måte som cookies? $_SESSION['LoggedIn']=$ID; Og sjekker den på samme måte som jeg har gjort med cookies, men med bare noen få modifikasjoner? EDIT: Jeg får det visst ikke helt til, jeg får til å starte session'n, ID'n blir lagret i session'n, men når jeg prøver å hente den ut igjen i index.php, med if(isset($_SESSION['loggedIn'])), så blir ikke resten av siden vist, men bare login delen, som om jeg ikke har logget inn i det hele tatt. Endret 7. mai 2008 av Slettet-aNZFa3 Lenke til kommentar
Jonas Skrevet 8. mai 2008 Del Skrevet 8. mai 2008 (endret) Ingen sessions blir satt dersom du ikke har husket å kjøre session_start(). Endret 8. mai 2008 av Jonas Lenke til kommentar
Gjest Slettet-aNZFa3 Skrevet 8. mai 2008 Del Skrevet 8. mai 2008 Det er netopp det som er problemet, jeg har gjort det. Lenke til kommentar
Jonas Skrevet 8. mai 2008 Del Skrevet 8. mai 2008 (endret) Er usikker på om session-navn av case-sensitive, men du sier at du setter LoggedIn og sjekker loggedIn. Endret 8. mai 2008 av Jonas Lenke til kommentar
Gjest Slettet-aNZFa3 Skrevet 9. mai 2008 Del Skrevet 9. mai 2008 (endret) Jeg får det forstatt ikke til: Klikk for å se/fjerne innholdet nedenfor login.php <?php session_start(); include "vars.php"; include "connect.php"; $username = $_POST['Username']; $password = $_POST['Password']; $result = mysql_query("SELECT * FROM users WHERE username='$username'"); $row = mysql_fetch_array($result); if (!$result) { echo "Logged in failed"; echo "<br><a title='Return' href='index.php'>Return</a>"; } else { if ($password == $row['password']) { $ID = $row['ID']; //$loggedIn = 1; //setcookie("loggedIn", $ID); $_SESSION['loggedIn']= $ID; echo $_SESSION['loggedIn'] . "<br>"; echo "Logged in succeded"; echo "<br><a title='Return' href='index.php'>Return</a>"; session_start(); } else { echo "Logged in failed"; echo "<br><a title='Return' href='index.php'>Return</a>"; } } mysql_close($con); ?> index.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Untitled Document</title> <link href="style.css" rel="stylesheet" type="text/css" /> </head> <body > </body> </html> <?php session_start(); //error_reporting(E_ALL); include "vars.php"; include "connect.php"; //$date = date(); echo "<table width='750' height='550' border='0'>"; /*Banner:\ echo "<tr>"; echo "</tr>"; */ echo "<tr>"; //if (isset($_COOKIE["loggedIn"])) if(isset($_SESSION['loggedIn'])) { //$user = $_COOKIE['loggedIn']; $user = $_SESSION['loggedIn']; $result = mysql_query("SELECT * FROM users WHERE ID='$user'"); $row = mysql_fetch_array($result); $mod = $row['mod']; $admin = $row['admin']; echo "<td valign='top' width='200'> <a title='Go home!' href='index.php'>Home</a> <p> <a title='Produce some massive hardware' href='hardware.php'>Produce hardware</a> <p> <a title='Sell som of your friends massive hardware' href='sell.php'>Sell hardware</a> <p> <a title'Check your messages' href='messages.php'>You have [tall] messages</a> <p>"; if ($admin == 1) { echo "<a href title='Administration' href='admin.php'>Administration</a><p>"; } if ($mod == 1) { echo "<a title='Moderation' href='mod.php'>Moderation</a>"; } echo "<p><a href='buy.php'>Buy hardware</a>"; echo "<p><a href='logout.php'>Logout</a>"; echo "</td>"; echo "<td valign='top' halign'left'> <p> You have "; echo $row['money']; echo " kr <br> The date today is: "; echo date("d F Y"); echo "<br> The time is: "; echo date("G\:i\:s"); echo "</td>"; } else { echo "<td valign='top' halign='left'> Login: <form action='login.php' method='post'> Username: <input type='text' name='Username' /><br> Password: <input type='password' name='Password' /><br> <input type='submit' value='Login' /></form> <p> <p> Create user: <form action='create.php' method='post'> Username*: <input type='text' name='Username' /><br> Password*: <input type='password' name='Password' /><br> E-mail*: <input type='text' name='Email' /><br> <input type='submit' value='Create User' /></form>"; } echo "</tr>"; echo "</table>"; mysql_close($con); ?> Endret 9. mai 2008 av Slettet-aNZFa3 Lenke til kommentar
Jonas Skrevet 9. mai 2008 Del Skrevet 9. mai 2008 (endret) session_start() skal kalles før output vises. Edit: Forresten, det er mulig å ha flere where-conditions i MySQL-spørringen, så du trenger strengt tatt ikke å hente ut dataen og sjekke passordet mot dette. Endret 9. mai 2008 av Jonas Lenke til kommentar
FrodeNilsen Skrevet 9. mai 2008 Del Skrevet 9. mai 2008 Jeg får det forstatt ikke til: Klikk for å se/fjerne innholdet nedenfor login.php <?php session_start(); include "vars.php"; include "connect.php"; $username = $_POST['Username']; $password = $_POST['Password']; $result = mysql_query("SELECT * FROM users WHERE username='$username'"); $row = mysql_fetch_array($result); if (!$result) { echo "Logged in failed"; echo "<br><a title='Return' href='index.php'>Return</a>"; } else { if ($password == $row['password']) { $ID = $row['ID']; //$loggedIn = 1; //setcookie("loggedIn", $ID); $_SESSION['loggedIn']= $ID; echo $_SESSION['loggedIn'] . "<br>"; echo "Logged in succeded"; echo "<br><a title='Return' href='index.php'>Return</a>"; session_start(); } else { echo "Logged in failed"; echo "<br><a title='Return' href='index.php'>Return</a>"; } } mysql_close($con); ?> index.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Untitled Document</title> <link href="style.css" rel="stylesheet" type="text/css" /> </head> <body > </body> </html> <?php session_start(); //error_reporting(E_ALL); include "vars.php"; include "connect.php"; //$date = date(); echo "<table width='750' height='550' border='0'>"; /*Banner:\ echo "<tr>"; echo "</tr>"; */ echo "<tr>"; //if (isset($_COOKIE["loggedIn"])) if(isset($_SESSION['loggedIn'])) { //$user = $_COOKIE['loggedIn']; $user = $_SESSION['loggedIn']; $result = mysql_query("SELECT * FROM users WHERE ID='$user'"); $row = mysql_fetch_array($result); $mod = $row['mod']; $admin = $row['admin']; echo "<td valign='top' width='200'> <a title='Go home!' href='index.php'>Home</a> <p> <a title='Produce some massive hardware' href='hardware.php'>Produce hardware</a> <p> <a title='Sell som of your friends massive hardware' href='sell.php'>Sell hardware</a> <p> <a title'Check your messages' href='messages.php'>You have [tall] messages</a> <p>"; if ($admin == 1) { echo "<a href title='Administration' href='admin.php'>Administration</a><p>"; } if ($mod == 1) { echo "<a title='Moderation' href='mod.php'>Moderation</a>"; } echo "<p><a href='buy.php'>Buy hardware</a>"; echo "<p><a href='logout.php'>Logout</a>"; echo "</td>"; echo "<td valign='top' halign'left'> <p> You have "; echo $row['money']; echo " kr <br> The date today is: "; echo date("d F Y"); echo "<br> The time is: "; echo date("G\:i\:s"); echo "</td>"; } else { echo "<td valign='top' halign='left'> Login: <form action='login.php' method='post'> Username: <input type='text' name='Username' /><br> Password: <input type='password' name='Password' /><br> <input type='submit' value='Login' /></form> <p> <p> Create user: <form action='create.php' method='post'> Username*: <input type='text' name='Username' /><br> Password*: <input type='password' name='Password' /><br> E-mail*: <input type='text' name='Email' /><br> <input type='submit' value='Create User' /></form>"; } echo "</tr>"; echo "</table>"; mysql_close($con); ?> Du burde venne deg til å lese dokumentasjonen på det språket du benytter. http://no.php.net/manual/en/book.session.php http://no.php.net/manual/en/function.session-start.php Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå