Форумы портала PHP.SU :: Версия для печати :: Скрипт: Защита от перебора

1. valenok - 12 Апреля, 2007 - 09:54:49 - перейти к сообщению

 
<?PHP  session_start(); header("Content-Type: text/html; charset=cp1251"); 
 
function show_form($message){ 
        ?>
        <center>
<font color='red'><?PHP  echo $message ?> </font> <br/>
<Form method="post"  name='form' id='form' action='login.php'>
<B>Имя персонажа:</B>
<input type='text' name='user' maxlength='20' />
 
 
<B>Пароль:</B>
<input type='password' name='pass' maxlength='20' />
<input  type='submit' value="Вход" name='subm'/>
</Form>
</center>
<?PHP  
        die();  }
 
 
//Убеждаемся что пользователь жал на кнопку сабмит
if(!isset($_POST['subm'])) show_from('');
 
// Убеждаемся что нам подсунули чтото а не кота в мешке
if(!isset($_POST['user']) OR !isset($_POST['pass']) OR empty($_POST['user']) OR empty($_POST['pass'])) 
        show_form("Не правильная пара логин-пароль.");
 
// подключение к БД
$connection = mysql_connect("localhost","","") ;
mysql_select_db('database') ; 
 
// Проверяем, вводил ли польхователь неверный пароль несколько раз
$errors = @mysql_result(mysql_query("SELECT count(ip) as falses FROM unauth WHERE 
logintime>DATE_SUB(NOW(),INTERVAL 1 HOUR) AND ip='".$_SERVER['REMOTE_ADDR']."'"),0);
 
 // НЕ смог достучаться до БД
 if (mysql_error()) die();
 
// Если пользователь уже трижды пытался ввести пароль и все три не верно (защита от перебора компьютером)
if ($errors>2)  die("Доступ закрыт попробуйте снова через час"); 
 
 
 
$user = mysql_escape_string($_POST['user']);
$pass = md5($_POST['pass']."ahha");
 
// Проверяем есть ли пользователь с таким логином и паролем
$result = mysql_query("SELECT `id` FROM `users` WHERE `login`='".$user."' AND `pass`='".$pass."'");
        
        // если есть - впускаем
        if(mysql_num_rows($result)==1) 
                $_SESSION['uid']=mysql_result($result,0);
        
        // Если нет - пишем так.
        else
                show_form("Incorrect login-password.");
        
  // Далее сообщение которое увидит вошедший пользователь
?>
 
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" >
<meta http-equiv="refresh" content="3; url=index.php" >
 
<table align=center bgcolor="#FFD987" width=500 valign=center>
<tr><td align=center>Здравствуйте <?PHP  echo mysql_escape_string($user); ?>,<br>
ваш текущий ip адресс:  <?PHP  print($_SERVER['REMOTE_ADDR']); ?><br>
последняя авторизая : <?PHP  print("системе не известна"); ?><br><BR>
Сейчас выбудуте пермещены.<BR><a href='home.php' style="FONT-SIZE: 8pt; COLOR: #004400; FONT-FAMILY: verdana,geneva,arial cyr;text-decoration: none;">Нажмите сюда если браузер не перенаправляет вас автоматически</a>
</td></tr>
</table>
 

***********************
Структура таблицы
**********************
В phpMyAdmin Тыкаем на нужную ДБ а потом там с верху - SQL
и копируем туда сей код

PHP:
скопировать код в буфер обмена

 
 
-- 
-- Структура таблицы `unauth`
-- 
 
CREATE TABLE `unauth` (
  `username` varchar(20) NOT NULL default '',
  `pass` varchar(20) NOT NULL default '',
  `ip` varchar(15) default NULL,
  `logintime` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;
 

Следует учесть один омент, что таблицу unauth придётся чистить вручную или вставить код очистки в код приведённый выше.

DELETE FROM `unauth` WHERE logintime<DATE_SUB(NOW(),INTERVAL 1 HOUR)

Также возможен ещё один вариант защиты от перебора.
До проверки формы вписать sleep(3); Таким образом скрипт будет бездействовать три секунды. Но этот способ, на мой взгляд, применим только при входе в админ панель, так как один человек и может подождать три секунды, так как зависание скрипта загружает сервер и так как для одного человека заводить целую таблицу бессмысленно.