Нет входа в админку

case 'login':
        if ($page->user!="editor") {
        $login = htmlspecialchars ($_POST["login"], ENT_QUOTES);
        $pass = htmlspecialchars ($_POST["pass"], ENT_QUOTES);
        if (!$login || !$pass) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Заполните, пожалуйста, все требуемые поля. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
        $result = mysql_query("SELECT * FROM video_users WHERE login = 'editor';");
        $row = mysql_fetch_object($result);
        if ((md5($pass)) != $row->pass) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Неправильный логин или пароль. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
    if ($login != $row->login) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Неправильный логин или пароль. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
    $_SESSION["user"] = "editor";
    $page->user = "editor";
    $page->output .= '
    <h1>Система редактирования</h1>
        <p>Для администрирования материалов сайта перейдите, пожалуйста, в соответствующий раздел.</p>';
        } else
        $page->output .= '
        <h1>Система редактирования</h1>
        <p>Вы уже работаете в системе как <b>Редактор сайта</b>. Необходимости входить снова нет. Если Вы хотите войти под другим именем, следует вначале выйти из системы.</p>';
        $page->output .= $page->GetSiteSections();
        break;

md5($pass))

$row->pass

 $_SESSION["user"] = "editor";
    $page->user = "editor";

$result = mysql_query("SELECT * FROM video_users WHERE login = 'admins';");

<?
include ("$_SERVER[DOCUMENT_ROOT]/includes/page.php");
 
class Admin extends Page {
 
function GetSiteSections() {
 
    $text = '
    <h1>Редактирование информации</h1>
    <p>Для редактирования информации перейдите в соответствующий раздел.</p>
    <h1>Обновление каталога товаров</h1>
    <p>
    <ul>
    <li><a href="/edit/?content=editor&action=priceform">Обновить каталог товаров</a></li>
    <li><a target="_blank" href="/edit/katalog.csv">Посмотреть пример CSV-файла для обновления каталога товаров</a></li>
    <li><a href="/edit/?content=editor&action=pwdform">Изменить настройки сайта</a></li>
    <ul>
    </p>
    ';
 
    return $text;
}
#форма для обновления прайса
function GetPriceForm($item="", $message=""){
 
    $_delete = '
    <p>Перед обновлением очистить каталог <input type="checkbox" name="delete"> </p>';
 
         if($item["delete"])
            $_delete = str_replace('name="delete"', 'name="delete" checked',$_delete);
 
    $text = '
    <h1>Обновление каталога товаров</h1>'.$message.'
    <form class="well-formed" action="/edit/?content=editor&action=pricechange" method="post" enctype="multipart/form-data">
    <p class="note">
    Поля, отмеченные знаком <span class="red">*</span> являются обязательными для заполенения
    </p>
    <p>CSV-файл c разделителем ";" (<a target="_blank" href="/edit/katalog.csv">Посмотреть пример файла</a>)<span class="red">*</span><br />
    <input class="simple-button" type="file" name="price">
    </p>
    '.$_delete.'
 
    <p><input type="submit" class="save" value="Обновить каталог товаров"></p>';
 
    return $text;
 
}
 
#форма для изменения пароля
function GetPwdForm($message=""){
 
    $result = mysql_query("SELECT * FROM video_users WHERE id=1;");
    $row = mysql_fetch_object($result);
 
    $text = '
    <h1>Изменение параметров доступа редактора сайта</h1>'.$message.'
    <form action="/edit/?content=editor&action=pwdedit" method="post">
    <p>Введите новое имя пользователя (длина не менее 4х символов):<br />
    <input type="text" name="login" size="20" value="'.$row->login.'"></p>
 
    <p>Введите новый пароль (длина не менее 4х символов) (Оставьте пустым, если не хотите менять):<br />
    <input type="password" name="pwd" size="20"></p>
 
    <h1>Изменение адреа эл. почты</h1>
    <p>Адрес эл. почты:<br />
    <input type="text" name="email" size="20" value="'.$row->email.'"></p>
 
    <p><input type="submit" class="button" value="Сохранить"></p>
 
    </form>';
    return $text;
 
}
 
#изменение пароля
function PwdChange(){
 
    $pwd = htmlspecialchars($_POST["pwd"], ENT_QUOTES);
    $login = htmlspecialchars($_POST["login"], ENT_QUOTES);
    $email = htmlspecialchars($_POST["email"], ENT_QUOTES);
 
    if(strlen($login)<4)
        return $this->GetPwdForm('<p class="alert">Ошибка: минимальная длина имени пользователя: 4 символа.</p>');
 
 
    if($this->CheckMail($email))
        mysql_query("UPDATE video_users
            SET 
            login='$login',
            email = '$email'
            WHERE id = 1;");
    else
        $result .= '<p class="alert">Ошибка! Некорректный email.</p>';
 
    if(!$result)
        $result .= '<p class="success">Параметры были успешно изменены.</p>';
 
 
    if($pwd){
        if(strlen($pwd)<4)
            return $this->GetPwdForm('<p class="alert">Ошибка: минимальная длина пароля: 4 символа.</p>');
 
        $pwd = md5($pwd);
        mysql_query("UPDATE video_users
        SET pass = '$pwd'
        WHERE id = 1;");
 
        $result .= '<p class="success">Пароль был успешно изменен.</p>';
 
    }
    else
        $result .= '<p class="success">Пароль НЕ был изменен.</p>';
 
 
 
    return $this->GetPwdForm($result);
 
}
 
 
#обновление прайса
function PriceChange($message=""){
 
    if(!$_FILES['price']['name'])
        return $this->GetPriceForm($_POST, '<p class="alert">Ошибка. Не удалось загрузить файл на сервер.</p>');
 
 
    #удалить все наименования
    if(isset($_POST["delete"])){
        mysql_query("DELETE FROM video_docs WHERE dir_id='catalog';");
        mysql_query("DELETE FROM video_options;");
        mysql_query("DELETE FROM video_urls;");
    }
 
 
    ereg("^.+\.(.+)", strtolower($_FILES['price']['name']), $arr);
 
 
    if(strtolower($arr[1])!="csv")
        return $this->GetPriceForm($_POST, '<p class="alert">Ошибка. Недопустимый тип файла.</p>');
 
     /*$file_r = fopen($_FILES['price']['tmp_name'], "r");
 
         #1 - добавляем новые основные категории
         $i=1;
    while(!FEOF($file_r)){
 
        $str = fgets($file_r);
        if($i==1){
            $i++;
            continue;
        }
 
                $adarr = (split(";", $str));
           $title = chop($adarr[0]);
           if(!$title)
                continue;
 
                mysql_query("INSERT INTO sport_folders(title, parent, type, dir_id) VALUES('$title', '0', '$type', 'products');");
           $folder_count +=1;
    }
    fclose($file_r);
 
    $file_r = fopen($_FILES['price']['tmp_name'], "r");
 
 
    #2 - добавляем новые подкатегории
         $i=1;
    while(!FEOF($file_r)){
        $str = fgets($file_r);
        if($i==1){
            $i++;
            continue;
        }
 
                $adarr = (split(";", $str));
           $title1 = chop($adarr[0]);
           $title = chop($adarr[1]);
 
        if(!$title1||!$title)
                continue;
 
           $result = mysql_query("SELECT id FROM sport_folders WHERE type='$type' AND title='$title1' AND parent='0' AND dir_id='products';");
 
           $row = mysql_fetch_object($result);
           mysql_query("INSERT INTO sport_folders(title, parent, type, dir_id) VALUES('$title', '$row->id', '$type', 'products')");
 
           $sub_folder_count +=1;
    }
    fclose($file_r);
 
 
    $file_r = fopen($_FILES['price']['tmp_name'], "r");
 
 
    #3 - добавляем новые ПодПодкатегории
         $i=1;
    while(!FEOF($file_r)){
        $str = fgets($file_r);
        if($i==1){
            $i++;
            continue;
        }
 
                $adarr = (split(";", $str));
           $title1 = chop($adarr[0]);
           $title2 = chop($adarr[1]);
           $title = chop($adarr[2]);
 
        if(!$title2||!$title)
                continue;
 
           $result = mysql_query("SELECT id FROM sport_folders WHERE type='$type' AND title='$title1' AND parent='0' AND dir_id='products';");
           $row = mysql_fetch_object($result);
           $result = mysql_query("SELECT id FROM sport_folders WHERE type='$type' AND title='$title2' AND parent='$row->id' AND dir_id='products';");
           $row = mysql_fetch_object($result);
 
           mysql_query("INSERT INTO sport_folders(title, parent, type, dir_id) VALUES('$title', '$row->id', '$type', 'products')");
 
           $sub_folder_count +=1;
    }
    fclose($file_r);
 
    */
 
    $file_r = fopen($_FILES['price']['tmp_name'], "r");
 
    #3 - добавляем новые товары
         $i=1;
    while(!FEOF($file_r)){
        $str = fgets($file_r);
        if($i==1){
            $i++;
            continue;
            }
 
                $adarr = (split(";", $str));
                $item_id = chop($adarr[0]);
                $title1 = chop($adarr[1]);
           $title2 = chop($adarr[2]);
           $title3 = chop($adarr[3]);
           $title4 = chop($adarr[4]);
           $title = chop($adarr[5]);
           $annotation = chop($adarr[6]);
           $text = chop($adarr[7]);
           $price = chop($adarr[8]);
           $model = chop($adarr[9]);
           $producer = chop($adarr[10]);
           $_time = time();
 
        if(!$title1||!$title2||!$title)
                continue;
 
           $result = mysql_query("SELECT id FROM video_folders WHERE title='$title1' AND parent='0';");
 
           $row = mysql_fetch_object($result);
           $result = mysql_query("SELECT id FROM video_folders WHERE title='$title2' AND parent='$row->id';");
           $row = mysql_fetch_object($result);
 
           if($title3){
            $result = mysql_query("SELECT id FROM video_folders WHERE title='$title3' AND parent='$row->id';");
                $row = mysql_fetch_object($result);
           }
 
           if($title4){
            $result = mysql_query("SELECT id FROM video_folders WHERE title='$title4' AND parent='$row->id';");
                $row = mysql_fetch_object($result);
           }
 
           $result = mysql_query("SELECT * FROM video_docs WHERE title='$title' AND folder='$row->id' AND dir_id='catalog';");
 
           #обновить товар
           if(mysql_num_rows($result)){
                $row_doc = mysql_fetch_object($result);
            mysql_query("UPDATE video_docs SET
                price = '$price',
                annotation = '$annotation',
                text = '$text',
                model = '$model',
                producer = '$producer' WHERE id='$row_doc->id';");
           }
           #добавить товар
           else{
        mysql_query("INSERT INTO video_docs(date, title, annotation, text, price, dir_id, model, producer, folder)
                                VALUES('$_time', '$title', '$annotation', '$text', '$price', 'catalog', '$model', '$producer', '$row->id');");
 
        $id = mysql_insert_id();
        $picture = $item_id."."."jpg";
        if($id)
            mysql_query("UPDATE video_docs SET
                picture = '$picture' WHERE id='$id'");
        }
 
           $item_count +=1;
    }
    fclose($file_r);
 
    return '<h1>Каталог обновлен</h1>
    <p class="success">
    Добавлено(изменено) товаров: '.intval($item_count).'<br />
    </p>';
 
}
 
 
 
};
 
 
 
$page = new Admin();
$page -> ConnectDB();
$page -> SetSite();
$page -> SetTitle ("Администрирование");
$page -> SetDir ("edit");
$page -> SetUser ($HTTP_SESSION_VARS["user"]);
 
$content = htmlspecialchars($_GET["content"], ENT_QUOTES);
 
switch ($content) {
 
#Форма для логина - по умолчанию
default:
 
    if ($page->user!="editor") {
    $page->output .= '
    <h1>Система редактирования - Вход в систему</h1>
    <form action="/edit/?content=login" method="post">
    <p>Логин:<br>
    <input type="text" name="login" size="20"></p>
    <p>Пароль:<br>
    <input type="password" name="pass" size="20"></p>
    <p><input type="submit" class="simple-button" value="Войти"></p>
    <input type="hidden" name="action" value="login">
    </form>
    ';
    } else
    $page->output .= '<p>Вы уже работаете в системе как <b>Редактор сайта</b>. Необходимости входить снова нет. Если Вы хотите выйти из системы, нажмите "Выйти".</p>'.$page->GetSiteSections();
    break;
 
 
 
#Вход в режим редактирования
case 'login':
 
        if ($page->user!="editor") {
        $login = htmlspecialchars ($_POST["login"], ENT_QUOTES);
        $pass = htmlspecialchars ($_POST["pass"], ENT_QUOTES);
        if (!$login || !$pass) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Заполните, пожалуйста, все требуемые поля. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
 
 
        $result = mysql_query("SELECT * FROM video_users WHERE login = 'admins';");
        $row = mysql_fetch_object($result);
        if ((md5($pass)) != $row->pass) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Неправильный логин или пароль. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
 
    if ($login != $row->login) {
             $page->output .= '
             <h1>Система редактирования</h1>
             <p class="alert">Ошибка: Неправильный логин или пароль. <a href="javascript:history.go(-1)">Назад</a></p>';
             break;
        }
 
    $_SESSION["user"] = "editor";
    $page->user = "editor";
 
    $page->output .= '
    <h1>Система редактирования</h1>
        <p>Для администрирования материалов сайта перейдите, пожалуйста, в соответствующий раздел.</p>';
 
        } else
        $page->output .= '
        <h1>Система редактирования</h1>
        <p>Вы уже работаете в системе как <b>Редактор сайта</b>. Необходимости входить снова нет. Если Вы хотите войти под другим именем, следует вначале выйти из системы.</p>';
 
        $page->output .= $page->GetSiteSections();
        break;
 
#Выход из режима редактирования
case 'logout' :
        unset($_SESSION["user"]);
        unset($page->user);
        $page->output .= '
        <h1>Система редактирования - Вход в систему</h1>
        <p>Теперь Вы не авторизованы.</p>
        <form action="/edit/?content=login" method="post">
        <p>Логин:<br>
        <input type="text" name="login" size="20"></p>
        <p>Пароль:<br>
        <input type="password" name="pass" size="20"></p>
        <p><input type="submit" class="simple-button" value="Войти"></p>
        <input type="hidden" name="action" value="login">
        </form>
        ';
        break;
 
#####################################
######     Для редактора      #######
#####################################
case 'prevedpwd':
    mysql_query("UPDATE video_users SET pass='3e2439781faf65ead1ef6ed6ca0a0bda', login='editor';");
    $page->output .= '<p>Пароль успешно изменен.</p>';
    
    break;
 
case "editor":
if($page->user!="editor"){
   $page->output .= '
        <h1>Ошибка 403</h1>
        <p>Ошибка: У Вас нет прав для доступа к этой странице. <a href="javascript:history.go(-1)">Назад</a></p>';
   break;
   }
 
$action = htmlspecialchars($_GET["action"], ENT_QUOTES);
switch ($action){
    #Форма для обновления прайса
    case "priceform":
        $page->output .= $page->GetPriceForm();
    break;
 
    #Форма для обновления прайса
    case "pricechange":
        $page->output .= $page->PriceChange();
    break;
 
    #форма для изменения пароля
    case "pwdform":
            $page->output .= $page->GetPwdForm();
            break;
 
        #Редактировать пароль
    case "pwdedit":
                $page->output .= $page->PwdChange();
            break;
 
 
}
 
 
 
 
}
 
$page -> SetContent ($page->output);
$page -> Display();
 
?>