Реклама

Место для вашей рекламы

Реклама

Погода

Яндекс.Погода

Автор Тема: Авторизация в PHP  (Прочитано 1718 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 2nd floor

  • Куряне
  • Почетный гражданин
  • *****
  • Сообщений: 8 720
  • Карамба!
    • Просмотр профиля
Авторизация в PHP
« : 20 Март 2005, 03:37:00 »
AXX, ты разбираешься в ПХП. Как можно сделать толковую авторизацию типа как в этом форуме? логин-пароль хранить в базе (после md5() пароль, разумеется). Передавать из формы post'ом. Сессии? Как сделано на форуме? Можно ли это взломать?

Оффлайн AXX

  • турист
  • Куряне
  • Почетный гражданин
  • *****
  • Сообщений: 44 971
  • Пол: Мужской
  • интернет-маньяк
    • Просмотр профиля
    • Портал города Курска
Авторизация в PHP
« Ответ #1 : 20 Март 2005, 13:17:12 »
2nd floor
Цитировать
AXX, ты разбираешься в ПХП.
Ты мне льстишь. Я пхп не разбираюсь. Точнее, когда появляется вопрос я в нем конкретно и разбираюсь, а так чтобы знать весь пхп... Я же не программист, хотя иногда думается, что зря не пошел, особенно, глядя на некоторых программистов.
Цитировать
Как сделано на форуме?
Я посмотрю, если разберусь объясню.
Цитировать
Можно ли это взломать?
взломать можно что угодно. Но инвижин отличается стойкостью ктакого рода вхломам, по крайней мере так было раньше. Потом вроде как нашли еще дыры. Щас не в курсе.

ЗЫ: Ты бы у Strori спросил, он вроде что-то ваял на пхп.
Бесплатные 11 гигабайт от Яндекса в облаке

Истина где-то есть!   |||  
Это я тебе, голуба, говорю как краевед

Оффлайн Strori

  • Коренной житель
  • ***
  • Сообщений: 316
    • Просмотр профиля
    • http://
Авторизация в PHP
« Ответ #2 : 20 Март 2005, 13:58:14 »
А что понимается под "толковой" авторизацией? Я с таким вопросом не сталкивался - но не думаю что сложно.  

Оффлайн AXX

  • турист
  • Куряне
  • Почетный гражданин
  • *****
  • Сообщений: 44 971
  • Пол: Мужской
  • интернет-маньяк
    • Просмотр профиля
    • Портал города Курска
Авторизация в PHP
« Ответ #3 : 20 Март 2005, 18:33:19 »
Я так понимаю, что кто попало под любым именем не мог авторизоваться, были баны и т.п....
Кстати, посмотрел как авторизуются на моем форуме... могу выложить файлик, там ни сложно, ни легко - разобраться можно, но не за 5 минут.
Бесплатные 11 гигабайт от Яндекса в облаке

Истина где-то есть!   |||  
Это я тебе, голуба, говорю как краевед

Оффлайн 2nd floor

  • Куряне
  • Почетный гражданин
  • *****
  • Сообщений: 8 720
  • Карамба!
    • Просмотр профиля
Авторизация в PHP
« Ответ #4 : 21 Март 2005, 01:42:36 »
Дык со всем разобраться можно : ) Вот сколько времени на это уйдет...
Авторизацию саму по себе я сделал. А вот как ограничить доступ извне к страницам, которые не должны видеть неавторизованные?

Вот как сделано у меня. Критикуйте.

Если логин-пароль совпадают с тем, что хранится в базе, то создаем какую-нибудь переменную, например $userid, храним, скажем, в ней номер пользователя, или (вернее "и" в другой его имя - чтоб часто к базе не обращаться).

На странице: если существует $userid, значит он прописан в сессии, значит авторизация уже прошла, то показываем то, что можно видеть, иначе не показываем.

Этот трюк взламывается: дописываем в адресе &userid=25 - и вуаля!

Усложняем. В сессии храним например логин пользователя. Теперь злоумышленнику надо знать кроме номера пользователя еще и его логин. Это все проверяется по базе. Взламывается аналогично: &userid=25&userlogin=vasya + перебор, чтобы узнать номер. Поэтому на сайте "Знака" авторизацию и убрал (я там хранил имя пользователя). Надеюсь никто не успел воспользоваться : )

Можно еще хранить в сессии и пароль, а потом это все пробивать по базе - тогда взломщику надо будет знать еще и пароль (в каком-то фильме грили, что 99% паролей - это "sex" "secret" и "god" : ) Но тогда он сможет просто войти и как пользователь!

Вопрос вот в чем - надежно-ли хранить в переменных сессии пароль? Можно их как-нибудь несанкционированно прочитать?

 

 

Друзья

Статистика

Яндекс.Метрика Сервис мониторинга вебсайтов Host-tracker.com

Городской информационный портал г. Курска. При перепечатке гиперссылка на сайт обязательна. 2004-2018

Сайт не рекомендуется к просмотру лицам, не достигшим 100 лет, а также людям впечатлительным, лицам с неустойчивой психикой.
При возникновении спорных ситуаций, в том числе и по нарушению авторских прав, просьба обращаться на почту [email protected]