Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Примитивнейшая авторизация.
Форумы портала PHP.SU » » Вопросы новичков » Примитивнейшая авторизация.

Страниц (1): [1]
 

1. Plut.Dem - 24 Декабря, 2011 - 17:33:30 - перейти к сообщению
Здравствуйте, нужно сделать на сайте страницу на которой заказчик смог бы просматривать записи из БД и доступ бы к ней имел только он.
Решил не городить огород и ограничится вот таким вот простейшим скриптом.
Пользователь заходит на страницу и отправляет пароль на эту же страницу через форму методом POST. Если пароль верен, то выводим записи, а если нет, то выводим сообщение о неверном пароле. Есть ли в такой защите какие либо дыры?
PHP:
скопировать код в буфер обмена
  1. <form action="">
  2.     <input name="myPass" type="password" />
  3.     <input type="submit" />
  4. </form>
  5. <?
  6. if( isset($_POST['myPass']) and $_POST['myPass']=='somepassword'  )
  7.     //подключаемся к базе и выводим записи
  8. else
  9.     echo "Введите верный пароль!";
2. etoYA - 25 Декабря, 2011 - 22:21:31 - перейти к сообщению
нет, тут их просто не может быть)
3. PATCH - 25 Декабря, 2011 - 22:31:40 - перейти к сообщению
+ круто ты авторизован
- подобрать пароль брутом
- изменить пароль, надо лезть в php скрипт (человек не знающий php или вообще какой нить язык программирование или построение алгоритмов может дров наломать)
добавляем еще минусы) покачто в голову не пришло))
4. etoYA - 25 Декабря, 2011 - 22:53:22 - перейти к сообщению
PATCH пишет:
- подобрать пароль брутом

md5(); решит
(Добавление)
PATCH пишет:
- изменить пароль, надо лезть в php скрипт (человек не знающий php или вообще какой нить язык программирование или построение алгоритмов может дров наломать)
добавляем еще минусы) покачто в голову не пришло))


А вот это беда ))
5. PATCH - 25 Декабря, 2011 - 23:06:17 - перейти к сообщению
что он решит? покажика мне)) ты картины не видеШ) если мы

$_POST['myPass'] - закинем в md5 то и somepassword закинуть в md5 - брут всмысле ПОДбор пароля береш брут программу отправляеш пароли (точнее брут программа отправляет) (замест формочки на php файл) и всё, весь брут ! md5 поможет в случии когда используются куки и их кто то перехватил) и то куку можно импортировать в браузер) и готово мы авторизованы) от брута можно написать capthy или captcha + бан по ип на небольшое время после 5 неудачных попыток авторизации скажем)) вот это улучшит защиту)
6. etoYA - 25 Декабря, 2011 - 23:18:09 - перейти к сообщению
PATCH, да, что-то я загнал)
7. Maxi - 25 Декабря, 2011 - 23:33:39 - перейти к сообщению
в настройках пользователя phpMyAdmin можно поставить максимальное количество запросов в день для пользователя...я думаю 300 для такой задачи потолок...ну 500 это уже млн. % хватит для такого...поэтому если ограничить количество запросов, то брута хватит на 5 минут...а ещё можно .htaccess прописать, для доступа по IP. чё ещё можно?
8. PATCH - 26 Декабря, 2011 - 00:03:59 - перейти к сообщению
Maxi пишет:
в настройках пользователя phpMyAdmin можно поставить максимальное количество запросов в день для пользователя...я думаю 300 для такой задачи потолок...ну 500 это уже млн. % хватит для такого...поэтому если ограничить количество запросов, то брута хватит на 5 минут...а ещё можно .htaccess прописать, для доступа по IP. чё ещё можно?
а ты уверен что сайт только для админа? D
9. Maxi - 26 Декабря, 2011 - 08:11:48 - перейти к сообщению
PATCH пишет:
Maxi пишет:
в настройках пользователя phpMyAdmin можно поставить максимальное количество запросов в день для пользователя...я думаю 300 для такой задачи потолок...ну 500 это уже млн. % хватит для такого...поэтому если ограничить количество запросов, то брута хватит на 5 минут...а ещё можно .htaccess прописать, для доступа по IP. чё ещё можно?
а ты уверен что сайт только для админа? D



PATCH пишет:
Здравствуйте, нужно сделать на сайте страницу на которой заказчик смог бы просматривать записи из БД и доступ бы к ней имел только он.
10. snikers987 - 26 Декабря, 2011 - 08:34:04 - перейти к сообщению
Сделай пару логин и пароль, а не просто пароль.
Для удобства изменения логина и пароля можно их вынести в отдельный фаил и закрыть его в htaccess.
Или сделать банальную basic авторизацию..
11. PATCH - 26 Декабря, 2011 - 17:27:45 - перейти к сообщению
CODE (htmlphp):
скопировать код в буфер обмена
  1.  нужно сделать на сайте СТРАНИЦУ на которой заказчик смог бы просматривать записи из БД и доступ бы к ней имел только он.

есть сайт а есть админ панель вот помойму он имел ввиду к САЙТУ приделать админ панель (СТРАНИЦУ) куда заказчик смог бы просматривать записи из БД и доступ бы к ней имел только он. ты тоже ограничиваеш запросы в бд када делаеш админ панель?)D .htaccess прописать, для доступа по IP. - а если динамический ип?D

 

Powered by ExBB FM 1.0 RC1