PHP Bloquear acesso através da URL!!!

Gustavo Duarte Barbosa · 22 de abril de 2019

Boa tarde!

Estou inciando na linguagem PHP, estou desenvolvendo uma tela de login, mas estou com dificuldade em bloquear o usuário através da URL. Da maneira que meu código está neste momento está bloqueando, só que também não deixa o usuário entrar pelos meios oficiais, que é inserindo o usuário e a senha, é como se no momento que o submit é ativado entrasse em um loop e sempre voltasse para a tela form_login

ESTA É A PAGINA DO MEU FORM_LOGIN:

<html>
	<head>
		<title>Tela de Login</title>
	</head>
	<body>
		<form action="logar.php" method="POST">
		<input type="text" name="email">
		<input type="password" name="senha">
		<input type="submit" value="Logar">
		</form>
	</body>
</html>

ESTA É A PAGINA QUE REALIZA A VERIFICAÇÃO NO BANCO DE DADOS DA INFORMAÇÃO QUE O USUÁRIO INSERIU:

<?php
$login = $_POST['email'];
$senha = $_POST['senha'];

//echo "Usuário: $email<br>";
//echo "Senha: $senha<br>";
include"connect.php";
$sql = mysqli_query($link,"SELECT * FROM tb_login WHERE email='$login'");
while($line = mysqli_fetch_array($sql)){
	$email= $line['email'];
	$senha_banco = $line['senha'];
}
$contar = mysqli_num_rows($sql);
if($contar != 0){
	if($senha != $senha_banco){
		echo "Senha não corresponde ao registro";
	}else{
		SESSION_START();
		$_SESSION['login_user'] = $login;
		$_SESSION['senha_user'] = $senha;
		header('location:adm.php');
	}



}else{
	echo "Nenhum registro foi encontrado!";
}

//echo "Email: $email<br>";
//echo "Senha: $senha<br>";

?>

ESSA É A PAGINA DA MINHA ÁREA RESTRITA:

<?php
include "connect.php";
SESSION_START();
@$log = $_session['login_user'];
@$pass = $_session['senha_user'];
$sql = mysqli_query($link,"SELECT * FROM tb_login WHERE email='$log'");
while($line = mysqli_fetch_array($sql)){
	$email = $line['email'];
	$senha = $line['senha'];
}
if($email != "" && $senha != ""){
echo "Está conectado";
}else{
	header('location:form_login.php');
}


?>

<html>
	<head>
		<title>ADM</title>
	</head>
	<body>
		<h1>Usuário: </h1>
		<a href="logout.php">Sair</a>
	</body>
</html>

Já verifiquei, reverifiquei mas não encontro nada de errado, já pesquisei mas até agora ninguém conseguiu ajudar.

Ficarei grato caso alguém possa ajudar...

adicionado 26 minutos depois

24 minutos atrás, Gustavo Duarte Barbosa disse:
Boa tarde!

Estou inciando na linguagem PHP, estou desenvolvendo uma tela de login, mas estou com dificuldade em bloquear o usuário através da URL. Da maneira que meu código está neste momento está bloqueando, só que também não deixa o usuário entrar pelos meios oficiais, que é inserindo o usuário e a senha, é como se no momento que o submit é ativado entrasse em um loop e sempre voltasse para a tela form_login

ESTA É A PAGINA DO MEU FORM_LOGIN:
<html>
	<head>
		<title>Tela de Login</title>
	</head>
	<body>
		<form action="logar.php" method="POST">
		<input type="text" name="email">
		<input type="password" name="senha">
		<input type="submit" value="Logar">
		</form>
	</body>
</html>
ESTA É A PAGINA QUE REALIZA A VERIFICAÇÃO NO BANCO DE DADOS DA INFORMAÇÃO QUE O USUÁRIO INSERIU:
<?php
$login = $_POST['email'];
$senha = $_POST['senha'];

//echo "Usuário: $email<br>";
//echo "Senha: $senha<br>";
include"connect.php";
$sql = mysqli_query($link,"SELECT * FROM tb_login WHERE email='$login'");
while($line = mysqli_fetch_array($sql)){
	$email= $line['email'];
	$senha_banco = $line['senha'];
}
$contar = mysqli_num_rows($sql);
if($contar != 0){
	if($senha != $senha_banco){
		echo "Senha não corresponde ao registro";
	}else{
		SESSION_START();
		$_SESSION['login_user'] = $login;
		$_SESSION['senha_user'] = $senha;
		header('location:adm.php');
	}



}else{
	echo "Nenhum registro foi encontrado!";
}

//echo "Email: $email<br>";
//echo "Senha: $senha<br>";

?>
ESSA É A PAGINA DA MINHA ÁREA RESTRITA:
<?php
include "connect.php";
SESSION_START();
@$log = $_session['login_user'];
@$pass = $_session['senha_user'];
$sql = mysqli_query($link,"SELECT * FROM tb_login WHERE email='$log'");
while($line = mysqli_fetch_array($sql)){
	$email = $line['email'];
	$senha = $line['senha'];
}
if($email != "" && $senha != ""){
echo "Está conectado";
}else{
	header('location:form_login.php');
}


?>

<html>
	<head>
		<title>ADM</title>
	</head>
	<body>
		<h1>Usuário: </h1>
		<a href="logout.php">Sair</a>
	</body>
</html>
Já verifiquei, reverifiquei mas não encontro nada de errado, já pesquisei mas até agora ninguém conseguiu ajudar.

Ficarei grato caso alguém possa ajudar...

@DiF

GabrielSennaMs · 22 de abril de 2019

Eu ainda não revisei o código todo porém, eu acho que o erro está na página restrita na linha 4 é 5.

você errou na nomenclatura da Superglobals $_SESSION.

Seu exemplo:

@$log = $_session['login_user'];
@$pass = $_session['senha_user'];

O correto é

@$log = $_SESSION['login_user'];
@$pass = $_SESSION['senha_user'];

Bom tirando isso seus código tem muitas brechas e falhas operacionais.

Não recomendo você fazer essa consultar no sql para retornar todos os valores, faça a verificação do login e da senha na consulta do sql.

Não recomendo você utilizar o "include" para recuperar os dados, métodos e class de algo que você realmente vai precisar para sua aplicação funcionar, recomendo a utilização do "require" e "require_once".

Gustavo Duarte Barbosa · 22 de abril de 2019

@GabrielSennaMs Cara, muito obrigado, funcionou da maneira que eu esperava. Obrigado pelas dicas também, apesar de ser satisfatório ver funcionando vou revisar as questões de segurança.