Админка в пхп

[ADRE]

Интересует кто как делает, посмотрел в классической книжке: лаура томпсон и люк веллинг. там все через сессии, на самом деле интересует как сделать с куки, ну естественно проверочки там разные , поковырял слаед, нюку, конечно можно тупо скопировать и подпилить под себя, но кто-то говрил легких путей не бывает... если кто этим занимался подскажите что проверять то?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

писать юзеру некую строку, её же хранить на сервере.

[ADRE]

эх думал еще какие интересные вещи есть, не так нет
пайду валенки корче покупать зае***** мерзнуть... то тепло то холод...

[Alex Keda]

эх думал еще какие интересные вещи есть, не так нет
пайду валенки корче покупать зае***** мерзнуть... то тепло то холод...

ну а что ещё придумать?
могу посоветовать добавить колонку с временем жизни кукиса и с временем установки на сервер - и проверять по ним - не полагаясь на клиента...
но это уже изврат....

[zg]

Интересует кто как делает, посмотрел в классической книжке: лаура томпсон и люк веллинг. там все через сессии, на самом деле интересует как сделать с куки

а ты знаешь для чего нужны куки и зачем была придумана сессия?

гвозди можно и головой забивать, но почему-то все молотком пользуются...

если ты начинаешь изучать пхп, то ради экспы можешь попробовать так и так, но если будешь давать жизнь своим скриптам, то авторизуй только через сессию!

[Alex Keda]

а запоминать как?

[zg]

а запоминать как?

ну да, кука самое место для хранения паролей

если уж на то пошло, то юзать встроеные средства браузера для автозаполнения логин-форм

[hizel]

ммм поповоду сессий лучше погуглить perl and sessions
в форумах народ обсуждает реализацию и теорию
например
http://forum.vingrad.ru/forum/topic-133 ... D0%B8.html
и
http://www.linux.org.ru/view-message.jsp?msgid=1926749
хинт: осторожно ЛОР

а в пых-пыхе помоиму это делается встроенными средствами
поэтому половина пэхапистов чокчиму не знает
но пользует

[paranoidchaos]

а ещё лучше использовать базовую авторизацию

и не париться о сохрания сессий на сервере или кукисов у пользователя

[Alex Keda]

писать юзеру некую строку, её же хранить на сервере.

про пароль тут не было ни слова.
вот строка генриться после проверки пароля - но к паролю отношения может не иметь.
просто идентификатор дающий на некторое время тебе лазить без ввода пароля.

[ADRE]

ПРо строку - классика, подбором печально будет все это дело отгадывать, с сессиями как-то странно получается, они присваивают челвеку кукисы на сессию(так понимаю), так зачем заморачиваться с сессией когда присвоил куки челвеку, засунул туда шифрованный пароль,добавочные левые символы для проверки , все это в бд засунул, потом проверил, в кукисах поставил жизнь на 45 минут.
----------------------------------------------------
з.ы как всегда нормально вопрос не сформулировал, интересует подмена глобальных массивов $_post, $_get, $_cookie. чем их смотреть, фильтровать,(методика ) или только определением их типа + фильтр буковок которых там не может быть?

посмотрю в инетике может кто выкладывал описание по созданию мега админки.

[zg]

ну давай пиши мега админку на куках флаг тебе в руки, только запомни - кукам нельзя доверять

есть простое правило - всё что пришло от пользователя есть попытка взлома, а значит этому содержимому нельзя доверять. Куки хранятся у пользователя, их отдаёт браузер при открытии страницы, при этом если не включены секурные куки, то они хранятся в виде простых текстовых файлов, а значит к ним имеет доступ конечный пользователь. Сессия хранится только на сервере, при чём может храниться не только в файловой системе, но и в любом другом хранилище, например в базе данных, к ней конечный пользователь (и можно оградить вообще от всех пользователей) доступа не имеет, а значит ей можно доверять.

Любые поптыки засунуть признак "авторизованности" на сторону клиента есть потенциальная уязвимость, а если для этого используются куки, то это "мегадырень" в "мегаадминке".

[Alex Keda]

собсно - строку я предлагал случайную делать - мегахакеру её взять просто неоткуда, время жизни куки тоже предложил отдельно хранить на сервере.
собсно - граблей не вижу...

[zg]

собсно - строку я предлагал случайную делать - мегахакеру её взять просто неоткуда, время жизни куки тоже предложил отдельно хранить на сервере.
собсно - граблей не вижу...

Лис, ты изобрёл сессию, поздравляю

Идентификатор сессии передаётся через куку, если кука не поддерживается то через урл (это контролирует пхп). Время жизни сессии контролируется сервером, устаревшие сессии не стартуют и удаляются по мере необходимости. Номер сессии уникален и генерируется случайным образом, поэтому подделать актуальный номер невозможно. Насколько я помню, для сессии так же важен ip, с которого она была запущена и тот, с которого она используется, с левых ip запускается новая сессия, но могу и ошибаться.

Таким образом идея о "случайной строке" в куках уже давно реализована и успешно работает и имя ей "сессия" .

[Alex Keda]

идей хороших не много.
поэтому все, разными путями, приходят именно к ним

[BlackCat]

Насколько я помню, для сессии так же важен ip

IP, к сожалению пхп не проверяет (эту проверку придется вручную делать).
=====
Что бы долго не спорить о сессиях, можно почитать раздел "сессии" в официальной докумментации на http://www.php.net - очень много полезных сведений.
=====
ADRE, просто напишите пару админок, а там и понимание придет

[ADRE]

дык чтоб самому написать много времени надо, занимаюсь их расковыриванием, тогда приходит и понимание ) благо Гнутых систем не мало

[zg]

благо Гнутых систем не мало

phpBB2 написан очень неплохо, pma, можно глянуть иногда (но не увлекаться)

но всё равно, пока не попробуешь сам написать, будет лишь иллюзия понимания

[ADRE]

благо Гнутых систем не мало

phpBB2 написан очень неплохо, pma, можно глянуть иногда (но не увлекаться)

но всё равно, пока не попробуешь сам написать, будет лишь иллюзия понимания

дык согласен а как еще начинать, не читать же гору книжек =/
====================
если еть что интересное посмотреть выкладывай )

[zg]

Скрипт авторизовалки

Код: Выделить всё

<?
// auth.php

// Если сессия не запущена, то запускаем её
if ( !session_id() ) session_start();

// Пользователь уже авторизован
if ( isset($_SESSION['AUTH_OK']) && $_SESSION['AUTH_OK'] ) return true;

// Пользователь пытается авторизоваться
if ( isset($_POST['login']) )
{
	if ( checkLogin( $_POST['login'], $_POST['passw'] ) )
		return true;
	else 
		echo '<div style="color: red"><b>Неверный логин или пароль</b></div>';
}

// Вывод формы логирования
loginForm();
exit();


/**
 * Вывод формы логирования
 *
 * @return void
 */
function loginForm()
{
?>
<form method="POST">

<label for="login">Логин</label> <input id="login" name="login" /><br />
<label for="passw">Пароль</label> <input type="password" id="passw" name="passw" /><br />

<input type="submit" value="Login" />

</form>
<?
}

/**
 * Проверка логина и пароля
 *
 * @param string $login
 * @param string $passw
 * @return bool
 */
function checkLogin( $login, $passw )
{
	if ( 'root' === $login && 'root' === $passw )
	{
		$_SESSION['AUTH_OK'] = true;
		return true;
	}
	
	return false;
}

?>

использование

Код: Выделить всё

<?
// Авторизация
include('auth.php');

?>
Закрытая часть админки

это одно из самых простых и надёжных решений, поскольку конечный пользователь даже не знает каким образом и какой скрипт его авторизует, ведь его авторизует именно тот раздел, куда он пришёл, и стало быть ни каких редиректов

[ADRE]

На досуге посмотрю, поковыряю другие выложу на просмотр...