Per a iniciar sessió comprovarem l'e-mail i el
password de l'empresari hostaler i si és correcte inicialitzarem
les variables de sessió $_SESSION['idreg'] i
$\_SESSION['emailreg'], que són les que utilitzarem
posteriorment.
// iniciar sessio
if ($_POST['emailreg'] || $_POST['passwordreg']) {
$checkemail = mysql_query("SELECT EH_Codi, EH_Email, EH_Password
from Empresari_hostaler
where EH_Email='".$_POST['emailreg']."'
and EH_Actiu=1", $link);
if (!(($f = mysql_fetch_array($checkemail))
&& ($f['EH_Password']) == $_POST['passwordreg'])) {
$tpl->assign ('TITOL', "Error");
$tpl->assign ('AUX', "Paràmetres incorrectes");
$tpl->parse(COS, "aux");
} else {
$_SESSION['idreg'] = $f['EH_Codi'];
$_SESSION['emailreg'] = $_POST['emailreg'];
$tpl->parse(MENU2, "menu2");
$tpl->assign ('EMAIL', $_SESSION['emailreg']);
$tpl->parse(REG, "reglogin");
}
}
Hem comprovat que els camps de formulari on introduïm l'usuari i
el password, en el camp del password no acceptem missatges del
tipus OR 1=1 amb el qual podriem iniciar sessió amb
qualsevol usuari sense conèixer el password.