Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

mandriva2007 · Data înscrierii: 02/Oct/2007 Mesaje: 132

As vrea sa blochez gen windows atunci cand cineva baga o parola gresita de 2 ori.Mentionez ca nu doresc redirectionare pe alta pagina ,ci pur si simplu blocarea pag web pe interfata cu login si password.As vrea o idee.
Chestia aia cu redirectionarea si exit ceva de genu:
<?PHP
.....
if (!$logare){
echo "eroare"; sau
echo "fgh.html";
exit;
}

?> am facut-o si eu.O idee as vrea.Multumesc anticipat.

crivion · Trimis: Vin Apr 25, 2008 6:19 am Titlul subiectului:

faci un camp numit incercari in tabela membri iar cand greseste parola usernameul cutare faci update la incercari, iar inainte de ai afisha pagina de login ii verifici campul incercari

kleampa · Trimis: Vin Apr 25, 2008 12:26 pm Titlul subiectului:

sau intr-o sesiune

Quber · Trimis: Vin Apr 25, 2008 12:57 pm Titlul subiectului:

@kleampa, in sessiune nui chiar normal ca daca face close la browser se sterg sessiunile..!

mihaitha · Data înscrierii: 04/Mai/2007 Mesaje: 1166 Locaţie: Sibiu

Depinde cum doreste mandriva implementarea:
1. daca vrei sa te feresti de atacuri de tip bruteforce, atunci e suficienta sesiunea. Tii o variabila de sesiune cu numarul de incercari, pe care o initializezi cu 0 la constructia sesiunii si o incrementezi in cazul unul login gresit. Daca valoarea ei depaseste 2 sau 3 sau 5 sau cat vrei, ii blochezi pagina de login.
2. daca vrei o securitate ca si in cazul SIM-ului de la mobil (care se blocheaza de tot in cazul a 3 login-uri gresite), atunci va trebui sa faci cum a zis crivion, cu un camp in baza de date. Numai sa nu uiti sa il resetezi la 0 cand reuseste login-ul.

edit: varianta a 2-a n-as recomanda-o, cu atat mai putin in cazul in care ai o lista de membri. Nu de alta, dar un rauvoitor poate sa iti buleasca toti userii de pe site luandu-i la rand si bagandu-le 2 parole aiurea. Caz in urma caruia te vei trezi cu toti userii cu conturile blocate.

Sporuri.

crivion · Trimis: Vin Apr 25, 2008 10:26 pm Titlul subiectului:

hmm bine spus mihaitha, la asta nu ma gandisem

mandriva2007 · Data înscrierii: 02/Oct/2007 Mesaje: 132

ok am rezolvat pana la urma problema .multumesc inca odata.

Mascka · Data înscrierii: 01/Oct/2005 Mesaje: 1279 Locaţie: Braila

mihaita... pai de ce varianta 2 nu e buna.. resetezi incercarile dupa 5 minute..si gata..

mihaitha · Data înscrierii: 04/Mai/2007 Mesaje: 1166 Locaţie: Sibiu

Mascka a scris: mihaita... pai de ce varianta 2 nu e buna.. resetezi incercarile dupa 5 minute..si gata.. Citeste mai atent ce am scris. E evident ca n-ai facut-o.

Mascka · Data înscrierii: 01/Oct/2005 Mesaje: 1279 Locaţie: Braila

da mihaita.. am citit inca odata... raman la parerea mea... banuiesc ca te referi la blocarea daca reuseste loginul.. daca da.. pai cum sa reuseasca loginul daca nu te poti loga ca e blocat?!

mandriva2007 · Data înscrierii: 02/Oct/2007 Mesaje: 132

ceva de genu la cum am cerut eu nu am reusit ,dar de blocat l-am blocat.am incercat mai multe variante,cu toate ca iimi pplace smecheria aia de ecran frozen din windows.dar nu-i nimk .nu sti udak se poa face din php.doar din php,poa in flash sau java.in fine.

mihaitha · Data înscrierii: 04/Mai/2007 Mesaje: 1166 Locaţie: Sibiu

Maska, a te chinui sa resetezi incercarile dupa 5 minute, ai nevoie sa implementezi urmatoarele chestii:
1. un camp in baza de date care sa retina timestamp-ul ultimei incercari de logare (altfel cum dracu stii ca au trecut 5 minute?)
2. un cron care sa ruleze cel putin o data pe minut (ideal ar fi, ca sa resetezi dupa exact 5 minute, sa ruleze in fiecare secunda) si sa reseteze incercarile mai vechi de 5 minute...

Aceste 2 chestii, care ar solicita imens serverul (ma refer la a doua), sunt absolut redundante pentru ca fac acelasi lucru ca o sesiune sau un cookie.

Maska a scris: banuiesc ca te referi la blocarea daca reuseste loginul.. daca da.. pai cum sa reuseasca loginul daca nu te poti loga ca e blocat?! Ha?!? :angry3:

Mascka · Data înscrierii: 01/Oct/2005 Mesaje: 1279 Locaţie: Braila

Pai draga mihaita... pentru ce sa rulez cron cand insusi vizitatorul este cron pentru contul lui?
daca contul cu userul "mascka" a fost blocat in urma unei repetate incercari de login.. si vin eu maine sa ma loghez.. cand am bagat userul mascka si dau submit scriptul verifica intai timpul, daca e trecut de 5 min verifica parola daca nu.. ma avertizeaza ca nu am voie sa ma loghez si nu mai face interogarile..

hai ca e atat de simplu..

badtiger · Data înscrierii: 03/Noi/2006 Mesaje: 214

sper sa nu repet ce au zis unii, ca am citit printre randuri..
Eu as face in felul urmator, la x incercari (as pune 5 ... sa fie unii au cate 3-4 parole pe care le fol si uita care a fost pusa si le iau la rand) blochezi ip-ul 30 minute sau (sa fie mai light sa nu stresezi serverul cu prea multe query-uri, pana la fix sau la si jumate (adik in cazul cel mai rau astepata 59min 59 sec si cel mai bun 1 sec).. sper ca intelegi ce am vrut sa zic..

mihaitha · Data înscrierii: 04/Mai/2007 Mesaje: 1166 Locaţie: Sibiu

Mascka a scris: Pai draga mihaita... pentru ce sa rulez cron cand insusi vizitatorul este cron pentru contul lui?
daca contul cu userul "mascka" a fost blocat in urma unei repetate incercari de login.. si vin eu maine sa ma loghez.. cand am bagat userul mascka si dau submit scriptul verifica intai timpul, daca e trecut de 5 min verifica parola daca nu.. ma avertizeaza ca nu am voie sa ma loghez si nu mai face interogarile..

hai ca e atat de simplu..
Mdea, in conditiile astea ai face cu cu ajutorul unei interogari mysql si au unui camp in plus in baza de date, exact acelasi lucru care l-ar face un simplu cookie. In plus, nu uita ca eu am dat varianta 2 comparand-o cu SIM-ul GSM. Daca iti bagi pin-ul gresit de 3 ori poti sa mai incerci o data dupa 5 minute?...

And for Christ's sake, 'mihaitha'!!!

PHPRomania Bot · Mie Dec 26, 2007 7:01 pm