Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Авторизация админа и юзера

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
gaga
Отправлено: 01 Февраля, 2012 - 09:02:42
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Июнь 2011  


Помог: 0 раз(а)
Добрый день.
Сделала авторизацию админа и юзера на одной странице. То есть в завизимости от входа админа или юзера, на одной странице отображается соответсвующая инфа для админа/юзера.

как защитить админа через htassecc или как?
через .htassecc защитить можно , если на двух разных страницах, есть два РАЗНЫХ входа для админа и юзера соответственно.


Как защитить в моей ситуации.
помогите, пожалуйста.
 
 Top
Zuldek
Отправлено: 01 Февраля, 2012 - 09:56:58
Post Id


Постоянный участник


Покинул форум
Сообщений всего: 2122
Дата рег-ции: Июнь 2010  


Помог: 50 раз(а)
.htaccess используется при basiq авторизации, если у вас админка отделена от открытой части сайта, например.
В вашем случае, когда админка фактически находится "на той же странице" что и инструменты обычного пользователя, то защищайте её грамотной организацией вашей авторизации:
1. Каптча
2. шифруйте все данные используемые для авторизации пользователей - логин, пароль, email. После входа храните данные в сессии в зашифрованном виде.
3. Тщательно фильтруйте поля ввода, через регулярки.
4. Ограничивайте количество попыток неправильного ввода данных по IP, это усложнит задачу взлома.
 
 Top
gaga
Отправлено: 01 Февраля, 2012 - 20:12:20
Post Id


Новичок


Покинул форум
Сообщений всего: 5
Дата рег-ции: Июнь 2011  


Помог: 0 раз(а)
спасибо вам большое, а мой случай актуален для инет-магазина?
2. шифруйте все данные используемые для авторизации пользователей - логин, пароль, email.
После входа храните данные в сессии в зашифрованном виде.
Это через md5
PHP:
скопировать код в буфер обмена
  1.  
  2. $login=md5($_POST['login']);
  3. $password=md5($_POST['password']);
  4. //установить из базы вместо логина фамилию $name
  5. ....
  6. ...
  7. $_SESSION['user']=md5($name)
  8.  

или

PHP:
скопировать код в буфер обмена
  1.  
  2. $login=md5($_POST['login']);
  3. $password=md5($_POST['password']);
  4. $_SESSION['user']=md5($login)
  5.  

Аналогично, сделать для администратора.
Как лучше?
Правильно ли я поняла 2 пункт?

(Отредактировано автором: 01 Февраля, 2012 - 20:44:36)

 
 Top
broshurkaplus
Отправлено: 08 Марта, 2012 - 15:55:04
Post Id



Посетитель


Покинул форум
Сообщений всего: 354
Дата рег-ции: Янв. 2011  
Откуда: Пружаны Бресткая обл. Беларусь


Помог: 2 раз(а)
мне кажется тут надо во первых не отображать имен модераторов, тогда и не будет соблазна убить, что либо... реально не стоит делать отдельную форму. лучше показывать для модеров дополниттельные кнопки типа удалить, править. при выводе страницы исползовать метки : если не помечено..., те если модер не пометил "на удалить". реально удалять самому. конечно для сайтов с более 10к это сложно , временнозатратно, но и прибыль позволяет нанять модеров правильных и честных, но сейчас добиться такого очень сложно, в яше все ниши ПАЛЮБОМУ заняты, гугл пока типа честен.(один мой сайт был уже >1к в день, потом яша побанил, или злюки постарались, теперь даёт 100 в день, я на него забил...)_ а уж если у вас 10к в день то потеря 250 из 1000 коментов или всего "пололжительного" по вам особо и не ударит...
 
 Top
DelphinPRO
Отправлено: 08 Марта, 2012 - 16:43:18
Post Id



Активный участник


Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)
разделяйте права доступа на уровне приложения. назначьте пользователям разные роли (админ, зарегистрированный, модер, гость). Проверяйте к какой группе относится юзер и разрешайте соответствующие действия. По умолчанию все ддолжно быть запрещено.


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
avtor.fox
Отправлено: 22 Марта, 2012 - 07:44:51
Post Id



Постоянный участник


Покинул форум
Сообщений всего: 2083
Дата рег-ции: Март 2012  
Откуда: Воронеж


Помог: 50 раз(а)
gaga пишет:

PHP:
скопировать код в буфер обмена
  1.  
  2. $login=md5($_POST['login']);
  3. $password=md5($_POST['password']);
  4. //установить из базы вместо логина фамилию $name
  5. ....
  6. ...
  7. $_SESSION['user']=md5($name)
  8.  

И не делайте отправку данных без проверки. Чревато Улыбка .
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB