PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Моя авторизация. Насколько хорошо?

Форумы портала PHP.SU » Объявления » Наработки по собственным проектам (Модератор: EuGen)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

D1mOn	Отправлено: 03 Марта, 2008 - 05:01:56
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	PHP: скопировать код в буфер обмена <?PHP if(!$_POST['submit']) { print ("<center><h2>Админка</h2><form action=\"$PHP_SELF\" method=\"post\"> <table border=\"0\"> <td>Логин</td><td><input type=\"text\" name=\"login\" maxlength=\"32\"></td><tr> <td>Пароль</td><td><input type=\"password\" name=\"pass\" maxlength=\"32\"></td><tr> <td colspan=\"2\"><center><input type=\"submit\" name=\"submit\" value=\"Войти\"></center></td> </table></center>"); } else { if(empty($_POST['login']) OR empty($_POST['pass'])) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } $name = addslashes(substr($_POST['login'], 0, 32)); $password = addslashes(substr($_POST['pass'], 0, 32)); $name = trim($name); $password = trim($password); if(empty($name) OR empty($password)) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } $name = quotemeta($name); $password = quotemeta($password); $name = htmlspecialchars($name, ENT_QUOTES); $password = htmlspecialchars($password, ENT_QUOTES); $password = md5($password); mysql_connect ("localhost", "root", "") or die ("Ошибка!"); mysql_select_db ("database") or die ("Ошибка!"); $query = "SELECT * FROM users WHERE name = '$name' AND password = '$password'"; $result = mysql_query ($query); if (mysql_numrows($result) != 1) { print ("<center>Неправильное имя или пароль! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } else { $res=mysql_fetch_array($result); $admin = $res['admin']; $moder = $res['moderator']; $user_name = $res['name']; if($admin == 'y') { session_start(); session_regenerate_id(); $sid = session_id(); $_SESSION["user"] = $user_name; header ("Location: admin.php?sid=$sid"); } elseif($moder == 'y') { session_start(); session_regenerate_id(); $sid = session_id(); $_SESSION["user"] = $user_name; header ("Location: moder.php?sid=$sid"); } } } ?> (Добавление) Это уже админка PHP: скопировать код в буфер обмена <?PHP session_start(); if($act == 'destroy') { unset($_SESSION["user"]); } if($_GET['sid'] != session_id()) { header ("Location: index.php"); exit; } $sid_id = session_id(); $name = addslashes($_SESSION["user"]); $name = htmlspecialchars($name); $name = quotemeta($name); mysql_connect ("localhost", "root", ") or die ("Ошибка!"); mysql_select_db ("datebase") or die ("Ошибка!"); $query = "SELECT * FROM users WHERE name = '$name'"; $result = mysql_query ($query); if (mysql_numrows($result) != 1) { header ("Location: index.php"); exit; } else { $res=mysql_fetch_array($result); $admin = $res['admin']; if($admin != 'y') { header ("Location: index.php"); exit; } } ?> (Добавление) Целесобразно ли в таблице users у каждого юзаря создавать два поля 'admin' & 'moder'. Которые имеют два значения y OR n, что сответственно означает принадлежность юзаря к тем или иным. Помогите баги выявить в скриптах. (Добавление) ( если они есть )

Dastar	Отправлено: 03 Марта, 2008 - 08:50:51
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	Если пользователь он админ, он имеет так же права модера, так? Лучше сделай одно поле, status (или подобное), которое будет ENUM, и будет выбор либо обычный пользователь, либо модератор либо администратор. Так, имхо, целесобразней. ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 09:00:01
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	Я думал, что раз он админ, то он и модер одновременно, а модер он просто модер! Но спасибо за мысль. А насчёт безопасности? (Добавление) А что такое ENUM?

Dastar	Отправлено: 03 Марта, 2008 - 09:01:06
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	PHP: скопировать код в буфер обмена <? else { if(empty($_POST['login']) OR empty($_POST['pass'])) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } $name = addslashes(substr($_POST['login'], 0, 32)); $password = addslashes(substr($_POST['pass'], 0, 32)); $name = trim($name); $password = trim($password); if(empty($name) OR empty($password)) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } ?> Все это можно сократить до: PHP: скопировать код в буфер обмена <? else { $name = addslashes(substr($_POST['login'], 0, 32)); $password = addslashes(substr($_POST['pass'], 0, 32)); $name = trim($name); $password = trim($password); if(empty($name) OR empty($password)) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } ?> ?> ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 09:04:05
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	И как им пользоваться на мойм примере?

Dastar	Отправлено: 03 Марта, 2008 - 09:04:34
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	ENUM - тип данных, которое задает, что значение поля может иметь только одно из указанных значений. К примеру: status ENUM('user', 'moder', 'admin', 'banned') ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 09:06:06
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	А насчёт безопасности, мож че подскажеш? Про сессии например. У меня register_globals = off А вот еще что: где тогда мне указать время или срок бана для юзаря? А как можно раграничить сессию админа, модера и юзера? (Отредактировано автором: 03 Марта, 2008 - 09:20:00)

Dastar	Отправлено: 03 Марта, 2008 - 09:19:10
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	Продолжаем разбирать скрипт. Что воть это такое: PHP: скопировать код в буфер обмена if($_GET['sid'] != session_id()) ? Зачем постоянно перелавать через GET sid польнователя? Это: 1. не безопасно (имхо). 2. не красиво. Кроме того, в каком-нибуть месте забудете поставить нужный адресс, и все, доступ будет потерян. Лучше храните sid пользователя в базе данных, и просто сравнивать, если sid в сессии равен sid в бд, и если нет - выкидывать юзера. Срок бана лучше указать в отдельном поле в таблице юзверей. ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 09:21:27
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	0.о спасибо, не догодался бы ) ща все сделаю ) (Добавление) Я таблицу сессий сделал вот так CODE (text): скопировать код в буфер обмена CREATE TABLE `sessions` ( `id` INT( 11 ) NOT NULL AUTO_INCREMENT PRIMARY KEY , `username` VARCHAR( 32 ) NOT NULL , `sid` VARCHAR( 32 ) NOT NULL , `date` DATETIME NOT NULL DEFAULT '00.00.00 00:00' ) ENGINE = MYISAM ; Скорее всего, как я понимаю, мне надо будет проверять при каждом заходе время открытия сессии с текущим временем и удалять, те которые допустим были открыты более 30 минут (допустим), и закрывать их?

Dastar	Отправлено: 03 Марта, 2008 - 09:33:20
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	Да. ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 09:48:59
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	Я исправил вот так PHP: скопировать код в буфер обмена <? else { $name = addslashes(substr($_POST['login'], 0, 32)); $password = addslashes(substr($_POST['pass'], 0, 32)); $name = trim($name); $password = trim($password); if(empty($name) OR empty($password)) { print ("<center>Вы ничего не ввели! <a href=\"javascript:history.back();\">Вернуться</a></center>"); exit; } $name = quotemeta($name); $password = quotemeta($password); $name = htmlspecialchars($name, ENT_QUOTES); $password = htmlspecialchars($password, ENT_QUOTES); $password = md5($password); mysql_connect ("localhost", "root", "") or die ("Ошибка!"); mysql_select_db ("datebase") or die ("Ошибка!"); $query = "SELECT * FROM users WHERE name = '$name' AND password = '$password', LIMIT 1"; $result = mysql_query ($query); $res=mysql_fetch_array($result); $status = $res['status']; $user_name = $res['name']; if($status == 'admin') { session_start(); session_regenerate_id(); $sid = session_id(); mysql_connect ("localhost", "root", "") or die ("Ошибка!"); mysql_select_db ("datebase") or die ("Ошибка!"); $now = date('Y-m-d H:i:s',mktime(gmdate('H')+3,gmdate('i'),gmdate('s'),gmdate('m'),gmdate('d'),gmdate('Y'))); mysql_query("insert into sessions (username,sid,date) values ('$user_name','$sid','$now')"); $_SESSION["user"] = $user_name; header ("Location: admin.php"); } elseif($status == 'moder') { session_start(); session_regenerate_id(); $sid = session_id(); mysql_connect ("localhost", "root", "") or die ("Ошибка!"); mysql_select_db ("datebase") or die ("Ошибка!"); $now = date('Y-m-d H:i:s',mktime(gmdate('H')+3,gmdate('i'),gmdate('s'),gmdate('m'),gmdate('d'),gmdate('Y'))); mysql_query("insert into sessions (username,sid,date) values ('$user_name','$sid','$now')"); $_SESSION["user"] = $user_name; header ("Location: moder.php"); } elseif($status == 'user' OR $status == 'ban' OR $status == 'activate') { print ("У Вас нет прав для доступа в эту часть сайта!"); exit; } ?> Отредактировано модератором: Dastar, 03 Марта, 2008 - 09:58:30

Dastar	Отправлено: 03 Марта, 2008 - 10:04:13
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	Зачем Вы ТРИ (!) раза открываете связь с базой данных? Зачем Вы два (!) раза открываете сессию (пусть и то и другое в разных ветках if'a)??? Рекомендую Вам каждый раз просматривать свой код, и искать способ сократить его. Ведь не в количестве счастье, а в качестве! ----- Не знаешь - молчи.

D1mOn	Отправлено: 03 Марта, 2008 - 11:46:28
Частый гость Покинул форум Сообщений всего: 222 Дата рег-ции: Янв. 2008 Откуда: Гагастан Помог: 0 раз(а) [+][+][+][+][+]	То что я написал вообще не работает! Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\admin.php on line 19 Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in C:\AppServ\www\admin.php on line 21 Мож дадите ссылки где можно про авторизацию почитать, только не методом заголовков. (401)

Dastar	Отправлено: 03 Марта, 2008 - 11:59:40
Частый гость Покинул форум Сообщений всего: 199 Дата рег-ции: Янв. 2008 Откуда: Израиль Помог: -6 раз(а)	http://forum.php.su/topic.php?fo...=1&topic=732 ----- Не знаешь - молчи.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Наработки по собственным проектам »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.