PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Подскажите, на сколько безопасна авторизация?

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

MXM	Отправлено: 03 Мая, 2008 - 20:36:01
Новичок Покинул форум Сообщений всего: 34 Дата рег-ции: Февр. 2008 Помог: 0 раз(а)	Скажите, на сколько безопасен способ авторизации для доступа к админке, приведенный ниже?: PHP: скопировать код в буфер обмена <?PHP /Приведенные ниже две строчки подключаются в через include к этому файлу / $db = mysql_connect ("localhost","user","12345"); mysql_select_db("phpsite",$db); if (!isset($_SERVER['PHP_AUTH_USER'])) { Header ("WWW-Authenticate: Basic realm=\"Admin Page\""); Header ("HTTP/1.0 401 Unauthorized"); exit(); } else { if (!get_magic_quotes_gpc()) { $_SERVER['PHP_AUTH_USER'] = mysql_escape_string($_SERVER['PHP_AUTH_USER']); $_SERVER['PHP_AUTH_PW'] = mysql_escape_string($_SERVER['PHP_AUTH_PW']); } $query = "SELECT pass FROM userlist WHERE user='".$_SERVER['PHP_AUTH_USER']."'"; $lst = @mysql_query($query); if (!$lst) { Header ("WWW-Authenticate: Basic realm=\"Admin Page\""); Header ("HTTP/1.0 401 Unauthorized"); exit(); } if (mysql_num_rows($lst) == 0) { Header ("WWW-Authenticate: Basic realm=\"Admin Page\""); Header ("HTTP/1.0 401 Unauthorized"); exit(); } $pass = @mysql_fetch_array($lst); if ($_SERVER['PHP_AUTH_PW']!= $pass['pass']) { Header ("WWW-Authenticate: Basic realm=\"Admin Page\""); Header ("HTTP/1.0 401 Unauthorized"); exit(); } } ?> Весь код вынесен в отдельный файл php, который подключается через include к каждой странице админки...

Andrey5555	Отправлено: 03 Мая, 2008 - 21:39:12
Частый гость Покинул форум Сообщений всего: 183 Дата рег-ции: Авг. 2007 Помог: 0 раз(а)	Зачем к каждой странице? Иди просто от главной админки. ----- UIN4YOU - ICQ раздача, аськи бесплатно, халява ICQ

MXM	Отправлено: 03 Мая, 2008 - 21:53:46
Новичок Покинул форум Сообщений всего: 34 Дата рег-ции: Февр. 2008 Помог: 0 раз(а)	А вдруг кто-то догадается набрать в адресной строке не просто http://site[dot]ru/admin/ а http://site[dot]ru/admin/str1.php и в итоге минуя аутентификацию на главной странице попадет на страницу где возможно редактирование какого-либо содержимого сайта... У меня весь админский интерфейс разбит на несколько страниц - для каждой свои функции, я неделаю ничего мегасложного, простой сайтец - простая админка... Я не увидел ответа на свой вопрос "на сколько безопасен этот способ?"

Andrey5555	Отправлено: 03 Мая, 2008 - 22:24:18
Частый гость Покинул форум Сообщений всего: 183 Дата рег-ции: Авг. 2007 Помог: 0 раз(а)	Ты то что написал пробовал? Что получить доступ ему потребуеться логин и пароль. Способ абсолютно безопасен так как это HTTP - авторизация. В ней ты не передаеш открытых переменных. ----- UIN4YOU - ICQ раздача, аськи бесплатно, халява ICQ

MXM	Отправлено: 03 Мая, 2008 - 22:27:57
Новичок Покинул форум Сообщений всего: 34 Дата рег-ции: Февр. 2008 Помог: 0 раз(а)	Спасибо, ответом удовлетворен.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.