Админка в пхп

И всё прочее, что касается HTML
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-14 8:06:28

Интересует кто как делает, посмотрел в классической книжке: лаура томпсон и люк веллинг. там все через сессии, на самом деле интересует как сделать с куки, ну естественно проверочки там разные =), поковырял слаед, нюку, конечно можно тупо скопировать и подпилить под себя, но кто-то говрил легких путей не бывает... если кто этим занимался подскажите что проверять то? :roll:
//del

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-14 10:19:47

писать юзеру некую строку, её же хранить на сервере.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-14 10:55:24

=) эх думал еще какие интересные вещи есть, не так нет :roll:
пайду валенки корче покупать зае***** мерзнуть... то тепло то холод...
//del

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-14 12:41:41

ADRE писал(а):=) эх думал еще какие интересные вещи есть, не так нет :roll:
пайду валенки корче покупать зае***** мерзнуть... то тепло то холод...
ну а что ещё придумать?
могу посоветовать добавить колонку с временем жизни кукиса и с временем установки на сервер - и проверять по ним - не полагаясь на клиента...
но это уже изврат....
Убей их всех! Бог потом рассортирует...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-14 18:52:16

ADRE писал(а):Интересует кто как делает, посмотрел в классической книжке: лаура томпсон и люк веллинг. там все через сессии, на самом деле интересует как сделать с куки
а ты знаешь для чего нужны куки и зачем была придумана сессия?

гвозди можно и головой забивать, но почему-то все молотком пользуются...

если ты начинаешь изучать пхп, то ради экспы можешь попробовать так и так, но если будешь давать жизнь своим скриптам, то авторизуй только через сессию!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-14 19:24:16

а запоминать как?
Убей их всех! Бог потом рассортирует...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-14 19:41:44

lissyara писал(а):а запоминать как?
ну да, кука самое место для хранения паролей :P

если уж на то пошло, то юзать встроеные средства браузера для автозаполнения логин-форм

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Админка в пхп

Непрочитанное сообщение hizel » 2008-02-14 20:40:03

ммм поповоду сессий лучше погуглить perl and sessions
в форумах народ обсуждает реализацию и теорию
например
http://forum.vingrad.ru/forum/topic-133 ... D0%B8.html
и
http://www.linux.org.ru/view-message.jsp?msgid=1926749
хинт: осторожно ЛОР

а в пых-пыхе помоиму это делается встроенными средствами
поэтому половина пэхапистов чокчиму не знает
но пользует
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
paranoidchaos
мл. сержант
Сообщения: 80
Зарегистрирован: 2007-12-13 10:58:23

Re: Админка в пхп

Непрочитанное сообщение paranoidchaos » 2008-02-14 20:52:09

а ещё лучше использовать базовую авторизацию

и не париться о сохрания сессий на сервере или кукисов у пользователя

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-14 20:55:34

lissyara писал(а):писать юзеру некую строку, её же хранить на сервере.
про пароль тут не было ни слова.
вот строка генриться после проверки пароля - но к паролю отношения может не иметь.
просто идентификатор дающий на некторое время тебе лазить без ввода пароля.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-15 6:29:00

ПРо строку - классика, подбором печально будет все это дело отгадывать, с сессиями как-то странно получается, они присваивают челвеку кукисы на сессию(так понимаю), так зачем заморачиваться с сессией когда присвоил куки челвеку, засунул туда шифрованный пароль,добавочные левые символы для проверки , все это в бд засунул, потом проверил, в кукисах поставил жизнь на 45 минут.
----------------------------------------------------
з.ы как всегда нормально вопрос не сформулировал, интересует подмена глобальных массивов $_post, $_get, $_cookie. чем их смотреть, фильтровать,(методика =)) или только определением их типа + фильтр буковок которых там не может быть?

посмотрю в инетике может кто выкладывал описание по созданию мега админки. =)
//del

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-15 9:00:16

ну давай пиши мега админку на куках :D флаг тебе в руки, только запомни - кукам нельзя доверять :wink:

есть простое правило - всё что пришло от пользователя есть попытка взлома, а значит этому содержимому нельзя доверять. Куки хранятся у пользователя, их отдаёт браузер при открытии страницы, при этом если не включены секурные куки, то они хранятся в виде простых текстовых файлов, а значит к ним имеет доступ конечный пользователь. Сессия хранится только на сервере, при чём может храниться не только в файловой системе, но и в любом другом хранилище, например в базе данных, к ней конечный пользователь (и можно оградить вообще от всех пользователей) доступа не имеет, а значит ей можно доверять.

Любые поптыки засунуть признак "авторизованности" на сторону клиента есть потенциальная уязвимость, а если для этого используются куки, то это "мегадырень" в "мегаадминке".

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-15 9:25:01

собсно - строку я предлагал случайную делать - мегахакеру её взять просто неоткуда, время жизни куки тоже предложил отдельно хранить на сервере.
собсно - граблей не вижу...
Убей их всех! Бог потом рассортирует...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-15 19:56:13

lissyara писал(а):собсно - строку я предлагал случайную делать - мегахакеру её взять просто неоткуда, время жизни куки тоже предложил отдельно хранить на сервере.
собсно - граблей не вижу...
Лис, ты изобрёл сессию, поздравляю :)

Идентификатор сессии передаётся через куку, если кука не поддерживается то через урл (это контролирует пхп). Время жизни сессии контролируется сервером, устаревшие сессии не стартуют и удаляются по мере необходимости. Номер сессии уникален и генерируется случайным образом, поэтому подделать актуальный номер невозможно. Насколько я помню, для сессии так же важен ip, с которого она была запущена и тот, с которого она используется, с левых ip запускается новая сессия, но могу и ошибаться.

Таким образом идея о "случайной строке" в куках уже давно реализована и успешно работает и имя ей "сессия" :).

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение Alex Keda » 2008-02-15 21:54:16

идей хороших не много.
поэтому все, разными путями, приходят именно к ним =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Админка в пхп

Непрочитанное сообщение BlackCat » 2008-02-15 23:19:28

zg писал(а):Насколько я помню, для сессии так же важен ip
IP, к сожалению пхп не проверяет (эту проверку придется вручную делать).
=====
Что бы долго не спорить о сессиях, можно почитать раздел "сессии" в официальной докумментации на http://www.php.net - очень много полезных сведений.
=====
ADRE, просто напишите пару админок, а там и понимание придет ;-)

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-18 4:51:47

дык чтоб самому написать много времени надо, занимаюсь их расковыриванием, тогда приходит и понимание =)) благо Гнутых систем не мало
//del

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-18 8:49:05

ADRE писал(а):благо Гнутых систем не мало
phpBB2 написан очень неплохо, pma, можно глянуть иногда (но не увлекаться)

но всё равно, пока не попробуешь сам написать, будет лишь иллюзия понимания :)

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-18 9:12:59

zg писал(а):
ADRE писал(а):благо Гнутых систем не мало
phpBB2 написан очень неплохо, pma, можно глянуть иногда (но не увлекаться)

но всё равно, пока не попробуешь сам написать, будет лишь иллюзия понимания :)
дык согласен =) а как еще начинать, не читать же гору книжек =/
====================
если еть что интересное посмотреть выкладывай )
//del

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Админка в пхп

Непрочитанное сообщение zg » 2008-02-18 11:12:23

Скрипт авторизовалки

Код: Выделить всё

<?
// auth.php

// Если сессия не запущена, то запускаем её
if ( !session_id() ) session_start();

// Пользователь уже авторизован
if ( isset($_SESSION['AUTH_OK']) && $_SESSION['AUTH_OK'] ) return true;

// Пользователь пытается авторизоваться
if ( isset($_POST['login']) )
{
	if ( checkLogin( $_POST['login'], $_POST['passw'] ) )
		return true;
	else 
		echo '<div style="color: red"><b>Неверный логин или пароль</b></div>';
}

// Вывод формы логирования
loginForm();
exit();


/**
 * Вывод формы логирования
 *
 * @return void
 */
function loginForm()
{
?>
<form method="POST">

<label for="login">Логин</label> <input id="login" name="login" /><br />
<label for="passw">Пароль</label> <input type="password" id="passw" name="passw" /><br />

<input type="submit" value="Login" />

</form>
<?
}

/**
 * Проверка логина и пароля
 *
 * @param string $login
 * @param string $passw
 * @return bool
 */
function checkLogin( $login, $passw )
{
	if ( 'root' === $login && 'root' === $passw )
	{
		$_SESSION['AUTH_OK'] = true;
		return true;
	}
	
	return false;
}

?>


использование

Код: Выделить всё

<?
// Авторизация
include('auth.php');

?>
Закрытая часть админки


это одно из самых простых и надёжных решений, поскольку конечный пользователь даже не знает каким образом и какой скрипт его авторизует, ведь его авторизует именно тот раздел, куда он пришёл, и стало быть ни каких редиректов :)

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Админка в пхп

Непрочитанное сообщение ADRE » 2008-02-19 4:17:00

На досуге посмотрю, поковыряю другие выложу =) на просмотр...
//del