Publicado em 20 de jun.

Login em ajax, erro de segurança.

Tenho o seguinte código java script:

function createObject() {
var request_type;
var browser = navigator.appName;
if(browser == "Microsoft Internet Explorer"){
request_type = new ActiveXObject("Microsoft.XMLHTTP");

}else{

request_type = new XMLHttpRequest();
}
return request_type;
}

var http = createObject();

var nocache = 0;

function login() {

document.getElementById('login_response').innerHTML = "Carregando..."

var email = encodeURI(document.getElementById('email').value);
var senha = encodeURI(document.getElementById('senha').value);

nocache = Math.random();

http.open('GET', 'login.php?email='+email+'&senha='+senha+'&nocache='+nocache);
http.onreadystatechange = loginReply;
http.send(null);

}

function loginReply() {

if(http.readyState == 4){
var response = http.responseText;

if(response == 0){
document.getElementById('login_response').innerHTML = 'Erro ao logar! Você não tem permissão ou seu usuário/senha estão errados.';

} else {

document.getElementById('login_response').innerHTML = response;
setInterval("window.location.href = 'admin.php'", 3000);
}
}
}

Caso necessário aqui tambem está o login.php:

<?php
include('../conexao.php');
if(isset($_GET['email']) && isset($_GET['senha'])){

	$email = $_GET['email'];
	$senha = $_GET['senha'];

	$sql = mysql_query("SELECT * FROM clientes WHERE email = '$email' AND senha = '$senha' AND tipo = 'admin'");
	$rss = mysql_fetch_assoc($sql);
	$cnt = mysql_num_rows($sql);

	if($cnt < 1){
 echo '0';
 }else{
 echo "Bem vindo ".$rss['nome']." ".$rss['sobrenome'].".<br />";
 echo "Você está sendo redirecionado.<br />";
 echo "<img src='layout/loader.gif' />";
 }
}

?>

Como faço para que o admin.php só seja visualizado se foi redirecionado por esse javascript ? Porque ele faz a verificação e depois redireciona, mas qualquer pessoa pode ir direto no admin.php sem efetuar login. Tem como fazer algum script que verifique que ele está sendo redirecionado porque efetuou o login corretamente ?

Abraços Walker http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

Discussão (6)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Carregando comentários...

var email = encodeURI(document.getElementById('email').value); var senha = encodeURI(document.getElementById('senha').value); nocache = Math.random(); http.open('GET', 'login.php?email='+email+'&senha='+senha+'&nocache='+nocache); http.onreadystatechange = loginReply; http.send(null); } function loginReply() { if(http.readyState == 4){ var response = http.responseText; if(response == 0){ document.getElementById('login_response').innerHTML = 'Erro ao logar! Você não tem permissão ou seu usuário/senha estão errados.';

<?php include('../conexao.php'); if(isset($_GET['email']) && isset($_GET['senha'])){ $email = $_GET['email']; $senha = $_GET['senha']; $sql = mysql_query("SELECT * FROM clientes WHERE email = '$email' AND senha = '$senha' AND tipo = 'admin'"); $rss = mysql_fetch_assoc($sql); $cnt = mysql_num_rows($sql); if($cnt < 1){ echo '0'; }else{ echo "Bem vindo ".$rss['nome']." ".$rss['sobrenome'].".<br />"; echo "Você está sendo redirecionado.<br />"; echo "<img src='layout/loader.gif' />"; } } ?>