PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (4): [1] 2 3 4 »

Описание: Авторизация админа (сессии, куки и еще пару вопросов) - посмотрите код

Поиск в теме | Версия для печати

Hapson	Отправлено: 14 Июня, 2013 - 18:40:04
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	Здравствуйте. Ну, собственно, начал учить PHP, а так как мой моск понимает исключительно практику, то решил писать сайт параллельно с чтением книг. Так как понятия не имел, с чего начать, взял за основу вот это Сейчас завис на авторизации админа. В общих чертах, это как бы CMS будет. С админкой - все дела. Админка по аналогии с джумлой, а сайт аналог Drive2.ru. Короче это чисто практика для меня, не факт, что это будет жить. Мне главное писать самому. Ну поехали... Структура: Спойлер (Отобразить) \|корень \|-admin \|--inc \|---auth.php \|---auth_form.php \|--template \|---index_adm.php \|---style \|----style_adm.css \|--index.php \|-inc \|--fun.php \|-template \|--home \|---style \|----style_home.css \|---index_home.php \|-config.php \|-index.php \|-install.php Админка доступна по адресу http://site[dot]ru/admin Открывается файл index.php Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php define('DANGER', 1); //защита от прямого доступа к подключаемым файлам include $_SERVER['DOCUMENT_ROOT'] .'/config.php'; //подключаем конфиг include $_SERVER['DOCUMENT_ROOT'] .'/inc/fun.php'; //подключаем функции db_connect(); //соединяемся с БД include $_SERVER['DOCUMENT_ROOT'] .'/admin/inc/auth2.php'; //авторизация админа //если авторизация в auth.php прошла, показываем админку if($user_status == 1){ include $_SERVER['DOCUMENT_ROOT'] . '/admin/template/index_adm.php'; } ?> Здесь подключается конфиг config.php (создается после установки... ну CMS что ли...) Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); define('DB_SERVER', 'localhost'); //сервер БД define('DB_NAME', 'test'); //имя БД define('DB_PREF', 'ts_'); //префикс БД define('DB_LOGIN', 'tester'); //логин БД define('DB_PASS', 'password'); //пароль БД define('SITE_NAME', 'Test'); //имя сайта define('TEMPLATE', 'home'); //шаблон сайта define('ROOT', 'Z:/home/test/www'); //корень сайта (наверно лишнее...) ?> Далее fun.php - функции Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); //Подключение к БД function db_connect(){ if(mysql_connect (DB_SERVER, DB_LOGIN, DB_PASS)){ if(mysql_select_db(DB_NAME)){ $status = true; }else{ $status = 'Не удалось выбрать БД' .mysql_error(); } }else{ $status = 'Невозможно подключиться к серверу БД' .mysql_error(); } if($status !== true){ echo $status; exit (); } } //проверяем, установлена ли CMS function cms_install(){ //если файла config.php нет... if(!file_exists($_SERVER[DOCUMENT_ROOT].'/config.php')){ //перенаправление на файл install.php header('Location: /install.php'); } } ?> Далее аутентификация - файл auth.php Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); session_start(); //обнуляем статус пользователя //всего 4 статуса: 0 - гость, 1 - админ, 2 - модератор, 3 - пользователь $user_status = 0; //проверяем, есть ли id пользователя в сессии if($_SESSION['id'] && !$_GET['exit']){ //если id есть, то выбираем все данные на пользователя, согласно id в сессии $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "`users where `id` = '" . $_SESSION['id'] . "'"); //если данные выбрали... if(mysql_num_rows($auth) > 0){ //собираем данные в массив $user_info = mysql_fetch_array($auth); } //проверяем соответствует ли статус из выбранных данных статусу админа (1) if($user_info['status'] == 1){ //если да, то все ОК - пользователь действительно админ, если нет, то идем дальше $user_status = 1; $user_id = $user_info['id']; $user_login = $user_info['login']; $user_password = $user_info['password']; } } //если была нажата кнопка войти в форме авторизации if($_POST['auth']){ //заполнены ли поля? if(!$_POST['login'] \|\| !$_POST['password']){ echo 'Вы заполнили не все поля'; }else{ $user_login = $_POST['login']; $user_password = $_POST['password']; //смотрим в базу, есть ли совпадение логин-пароль $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `login` = '" . $user_login . "' and `password` = '" . $user_password . "'"); //если есть совпадение... if(mysql_num_rows($auth) > 0){ //собираем данные пользователя $user_info = mysql_fetch_array($auth); //если в выбранных данных статус пользователя 1,то все ОК - это админ пришел if($user_info['status'] == 1){ $user_status = 1; $user_id = $user_info['id']; $user_login = $user_info['login']; $user_password = $user_info['password']; $_SESSION['id'] = $user_info['id']; }else{ //если статус не равен 1, значит это не админ - отправляем пользователя на главную echo 'У вас недостаточно прав'; sleep(5); header('Location: /'); } }else{ echo 'Введенные вами данные не верны. Проверьте правильность ввода логина и пароля'; } } } //если была нажата кнопка выход в админке (<a href="?exit=ok">Выйти</a>) if($_GET['exit'] == 'ok'){ unset($_SESSION['id']); session_destroy(); } //если статус пользователя не изменился (0) показываем форму авторизации if($user_status == 0){ include $_SERVER['DOCUMENT_ROOT'] . '/admin/inc/auth_form.php'; } ?> Этот файл я переписал, немного изменив тот, что предлагал автор по вышеуказанной ссылке. Он предлагал вот что Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); session_start(); $user_status = 0; //проверяем, есть ли в сессии логин и пароль if(isset($_SESSION['login']) && isset($_SESSION['password']) && empty($_GET['exit'])){ $login = $_SESSION['login']; $password = $_SESSION['password']; $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `login` = '" . $login . "' and `password` = '" . $password . "'"); //если совпадение есть, активируем сессию if(mysql_num_rows($auth) > 0){ //собираем данные пользователя в массив $userinfo = mysql_fetch_array($auth); $_SESSION['id'] = $userinfo['id']; $_SESSION['login'] = $userinfo['login']; $_SESSION['password'] = $userinfo['password']; $_SESSION['status'] = $userinfo['status']; //если статус равен 1(админ)... if($_SESSION['status'] == 1){ //активируем админа $user_status = 1; } } } //если нажата кнопка в форме авторизации if($_POST['auth']){ //проверяем заполнение полей if(empty($_POST['login']) \|\| empty($_POST['password'])){ echo 'Вы заполнили не все поля'; }else{ //если поля заполнены $login = $_POST['login']; $password = $_POST['password']; $auth = mysql_query("select id, login, password, status from `" . DB_PREF . "users` where `login` = '" . $login . "' and `password` = '" . $password . "'"); //если найдено совпадение пары логин-пароль, то активируем сессию if(mysql_num_rows($auth) > 0){ //собираем данные пользователя в массив $userinfo = mysql_fetch_array($auth); $_SESSION['id'] = $userinfo['id']; $_SESSION['login'] = $userinfo['login']; $_SESSION['password'] = $userinfo['password']; $_SESSION['status'] = $userinfo['status']; //если статус равен 1(админ)... if($_SESSION['status'] == 1){ //активируем админа $user_status = 1; //если статус не равен 1... }else{ //значит это не админ, тогда сбрасываем авторизацию и отправляем юзера на главную $user_status = 0; echo 'У вас нет прав доступа к данной странице. Сейчас вы будете перенаправлены на главную страницу'; sleep(10); header('Location: /'); } }else{ echo 'Такого пользователя не существует или логин и(или) пароль не верные'; } } } //если пользователь нажал кнопку выход if($_GET['exit'] == 'ok'){ unset($_SESSION['id']); unset($_SESSION['login']); unset($_SESSION['password']); unset($_SESSION['status']); session_destroy(); } //если статус пользователя не изменился (0) показываем форму авторизации if($user_status == 0){ include $_SERVER['DOCUMENT_ROOT'] . '/admin/inc/auth_form.php'; } ?> Я так думаю не нужно передавать в сессию логин и пароль. Мне кажется, что id вполне достаточно для этого. Или нет? Безопасен ли мой файл авторизации? Не обращайте внимания на отсутствие проверок полей - это потом. Еще вот что не могу понять. Я вхожу в админку, затем нажимаю кнопку выйти, а потом жму кнопку назад в браузере. И тут я опять попадаю в админку и снова я авторизован. Как победить это? Как сделать чтобы при клике назад в браузере, я не попадал снова в админку. PS Ну и еще подскажите, если это можно объяснить в двух словах. Как можно реализовать вставку модулей в шаблон сайта. Типа как в джумле. Или здесь без классов никак? Вот сам шаблон, как-то так Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <title></title> <meta name="keywords" content="" /> <meta name="description" content="" /> <meta http-equiv="Content-Language" content="ru" /> <meta http-equiv="Content-Type" content="text/html;charset=utf-8" /> <link rel="shortcut icon" href="template/<?php TEMPLATE; ?>/favicon.ico" /> <link rel="stylesheet" type="text/css" href="/template/home/style/style.css" /> </head> <body> <div class="all"> <div class="header"> <div class="top_line"> </div> <div class="logo"> </div> <div class="top_menu"> </div> </div> <div class="main_container"> <div class="left"> </div> <div class="content"> </div> </div> </div> <div class="footer"> </div> </body> </html> А это шаблон админки, тут находится кнопка выйти Спойлер (Отобразить) CODE (htmlphp): скопировать код в буфер обмена <?php defined('DANGER') or die (header('Location: /')); ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <title>Административная панель</title> <meta name="keywords" content="" /> <meta name="description" content="" /> <meta http-equiv="Content-Language" content="ru" /> <meta http-equiv="Content-Type" content="text/html;charset=utf-8" /> <link rel="shortcut icon" href="template/<?php TEMPLATE; ?>/favicon.ico" /> <link rel="stylesheet" type="text/css" href="/admin/template/style/style_adm.css" /> </head> <body> <div class="all"> <div class="header"> <div class="top_line"> <p>Вы зашли как <?php echo $user_info['login']; ?>. <a href="?exit=ok">Выйти</a></p> </div> <div class="logo"> </div> <div class="top_menu"> </div> </div> <div class="main_container"> <div class="left"> </div> <div class="content"> </div> </div> </div> <div class="footer"> </div> </body> </html> (Добавление) Да, вот что еще забыл. Стоит ли использовать сессии для пользователей? Говорят они сильно грузят сервер... А куки тоже плохо. (Отредактировано автором: 15 Июня, 2013 - 19:22:02) ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

VygVik	Отправлено: 14 Июня, 2013 - 21:39:28
Новичок Покинул форум Сообщений всего: 4 Дата рег-ции: Нояб. 2011 Помог: 0 раз(а)	Цитата: Я так думаю не нужно передавать в сессию логин и пароль. Мне кажется, что id вполне достаточно для этого. Или нет? Безопасен ли мой файл авторизации? Не обращайте внимания на отсутствие проверок полей - это потом. Еще вот что не могу понять. Я вхожу в админку, затем нажимаю кнопку выйти, а потом жму кнопку назад в браузере. И тут я опять попадаю в админку и снова я авторизован. Как победить это? Как сделать чтобы при клике назад в браузере, я не попадал снова в админку. Так всего много) Логин и пароль желательно передать, ведь на основании этого можно авторизоваться. Я думаю взломать можно любой сайт, дело за профессионалом. После выхода с админки нужно завершить сессию, тогда нажимая в браузере назад вы не сможете войти в админку.

Master_pascal	Отправлено: 14 Июня, 2013 - 23:48:35
Частый гость Покинул форум Сообщений всего: 147 Дата рег-ции: Дек. 2012 Помог: 0 раз(а) [+][+][+][+][+]	без куки и сессий регистрацию не сделаешь. гг , а зачем ты страницу ,где кнопка выйти, показал? показывай чо там у тебя в exit.php (Добавление) тебе надо создать exit.php и сделать unset($_SESSION['login'])

esterio	Отправлено: 15 Июня, 2013 - 02:26:16
Активный участник Покинул форум Сообщений всего: 5025 Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов Помог: 127 раз(а)	Master_pascal вы в етом уверены? конешно так лучше но не надо так категорически Hapson очень много всего. вряли ктонибудь станет читать (Отредактировано автором: 15 Июня, 2013 - 02:34:49)

teddy	Отправлено: 15 Июня, 2013 - 02:32:05
Участник Покинул форум Сообщений всего: 1462 Дата рег-ции: Апр. 2013 Помог: 91 раз(а)	Master_pascal пишет: без куки и сессий регистрацию не сделаешь Регистрацию - сделает. а файл отдельный для выхода создавать вовсе не нужно. Достаточно использовать GET параметр. Например www[dot]site[dot]ru/index.php?logout PHP: скопировать код в буфер обмена if(isset($_GET['logout'])){ unset($_SESSION['login']); header("Location: index.php"); exit; }

AlexAnder	Отправлено: 15 Июня, 2013 - 07:21:25
Частый посетитель Покинул форум Сообщений всего: 915 Дата рег-ции: Авг. 2012 Откуда: Россия Помог: 34 раз(а)	Цитата: PHP: скопировать код в буфер обмена unset($_SESSION['login']); а для чего session_destroy() тогда? ТС, возможно, не знает о существовании такого тега как SPOILER (Отредактировано автором: 15 Июня, 2013 - 07:22:18) ----- Оказывается, недостаточно читать справочники, чтобы правильно писать коды. sadex © Форумы стали местом обучения программированию, а не решения трудных вопросов. KingStar ©

DeepVarvar	Отправлено: 15 Июня, 2013 - 12:43:04
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	AlexAnder пишет: session_destroy() Для того, чтобы вообще её уничтожить. Будто её и не стартовали. Тогда даже при желании ты в неё ничего не запишешь. И например будут проблемы с капчей у гостей, если правильный ответ пишется в сессию. ----- Шта? Репозиторий?

AlexAnder	Отправлено: 15 Июня, 2013 - 14:53:48
Частый посетитель Покинул форум Сообщений всего: 915 Дата рег-ции: Авг. 2012 Откуда: Россия Помог: 34 раз(а)	DeepVarvar пишет: AlexAnder пишет: session_destroy() Для того, чтобы вообще её уничтожить. Будто её и не стартовали. Тогда даже при желании ты в неё ничего не запишешь. И например будут проблемы с капчей у гостей, если правильный ответ пишется в сессию. т.е. при логауте(нажатии на ссылку выйти) нужно ансетить идентификационные данные, а не уничтожать сессию? (Отредактировано автором: 15 Июня, 2013 - 14:54:23) ----- Оказывается, недостаточно читать справочники, чтобы правильно писать коды. sadex © Форумы стали местом обучения программированию, а не решения трудных вопросов. KingStar ©

vanicon	Отправлено: 15 Июня, 2013 - 15:38:46
Частый посетитель Покинул форум Сообщений всего: 808 Дата рег-ции: Янв. 2010 Откуда: Самара Помог: 17 раз(а)	Насколько я знаю session_destroy() уничтожает сессию (на стороне сервере), поэтому не всегда нужно уничтожать сессию, а достаточно просто удалить куку... Ps Поправьте если что (Отредактировано автором: 15 Июня, 2013 - 15:39:18) ----- Так было, так есть и так будет

LIME	Отправлено: 15 Июня, 2013 - 15:41:20
Активный участник Покинул форум Сообщений всего: 10732 Дата рег-ции: Нояб. 2010 Помог: 322 раз(а)	vanicon а если будет убита кука какой смысл сохранять файл сессии? как он будет доступен?

vanicon	Отправлено: 15 Июня, 2013 - 15:43:32
Частый посетитель Покинул форум Сообщений всего: 808 Дата рег-ции: Янв. 2010 Откуда: Самара Помог: 17 раз(а)	Ну это если id сессии хранить в бд, хотя да смысла походу мало оставлять сессию в живых ----- Так было, так есть и так будет

DeepVarvar	Отправлено: 15 Июня, 2013 - 15:45:52
Активный участник Покинул форум Сообщений всего: 10377 Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра Помог: 353 раз(а)	AlexAnder пишет: т.е. при логауте(нажатии на ссылку выйти) нужно ансетить идентификационные данные, а не уничтожать сессию? Ага ----- Шта? Репозиторий?

vanicon	Отправлено: 15 Июня, 2013 - 15:48:28
Частый посетитель Покинул форум Сообщений всего: 808 Дата рег-ции: Янв. 2010 Откуда: Самара Помог: 17 раз(а)	DeepVarvar Хм а почему? ----- Так было, так есть и так будет

AlexAnder	Отправлено: 15 Июня, 2013 - 15:57:00
Частый посетитель Покинул форум Сообщений всего: 915 Дата рег-ции: Авг. 2012 Откуда: Россия Помог: 34 раз(а)	DeepVarvar пишет: AlexAnder пишет: т.е. при логауте(нажатии на ссылку выйти) нужно ансетить идентификационные данные, а не уничтожать сессию? Ага ну файл с данными же останется на сервере, или нет? ----- Оказывается, недостаточно читать справочники, чтобы правильно писать коды. sadex © Форумы стали местом обучения программированию, а не решения трудных вопросов. KingStar ©

Hapson	Отправлено: 15 Июня, 2013 - 19:33:26
Посетитель Покинул форум Сообщений всего: 356 Дата рег-ции: Июнь 2013 Откуда: Ставропольский край Помог: 10 раз(а) [+]	VygVik пишет: Так всего много) Логин и пароль желательно передать, ведь на основании этого можно авторизоваться. Я думаю взломать можно любой сайт, дело за профессионалом. После выхода с админки нужно завершить сессию, тогда нажимая в браузере назад вы не сможете войти в админку. Ну там же смысл в чем. Сначала проверяется, есть ли в сессии "id" пользователя. Если есть, то из базы выбираются все данные этого "id". То есть, если "id" = 5, то из базы выбираются все данные на пользователя с "id" = 5 (логин, пароль, статус и id). По задумке есть 4 статуса у пользователей: 0 - гость, 1 - админ, 2 - модер, 3 - юзер. Далее проверяется, если в выбранных данных статус равен 1, значит это админ, можно показать админку. Если в сессии "id" не было, тогда из базы выбираются данные согласно паре логин-пароль, которые ввел пришедший юзер. Если в этих данных статус пользователя = 1, то значит это админ, если нет, значит не админ - отправляем юзера на главную, ему сюда нельзя. Если пользователь нажал кнопку выход (<a href="?exit=ok">Выйти</a>) в админке, тогда удаляется "id" из сессии и уничтожается сессия. Но почему-то при нажатии кнопки назад в браузере, сессия опять жива и "id" админа опять существует в сессии. (Добавление) Master_pascal пишет: без куки и сессий регистрацию не сделаешь. гг , а зачем ты страницу ,где кнопка выйти, показал? показывай чо там у тебя в exit.php (Добавление) тебе надо создать exit.php и сделать unset($_SESSION['login']) Нету exip.php. В админке есть <a href="?exit=ok">Выйти</a> а в файле авторизации CODE (htmlphp): скопировать код в буфер обмена if(!empty($_GET['exit']) == 'ok'){ unset($_SESSION['id']); session_destroy(); ----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)

Поиск в теме | Версия для печати

Страниц (4): [1] 2 3 4 »

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.