Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[mandriva2007]

As vrea sa blochez gen windows atunci cand cineva baga o parola gresita de 2 ori.Mentionez ca nu doresc redirectionare pe alta pagina ,ci pur si simplu blocarea pag web pe interfata cu login si password.As vrea o idee.
Chestia aia cu redirectionarea si exit ceva de genu:
<?PHP
.....
if (!$logare){
echo "eroare"; sau
echo "fgh.html";
exit;
}

?> am facut-o si eu.O idee as vrea.Multumesc anticipat.

[crivion]

faci un camp numit incercari in tabela membri iar cand greseste parola usernameul cutare faci update la incercari, iar inainte de ai afisha pagina de login ii verifici campul incercari

[kleampa]

sau intr-o sesiune

[Quber]

@kleampa, in sessiune nui chiar normal ca daca face close la browser se sterg sessiunile..!

[mihaitha]

Depinde cum doreste mandriva implementarea:
1. daca vrei sa te feresti de atacuri de tip bruteforce, atunci e suficienta sesiunea. Tii o variabila de sesiune cu numarul de incercari, pe care o initializezi cu 0 la constructia sesiunii si o incrementezi in cazul unul login gresit. Daca valoarea ei depaseste 2 sau 3 sau 5 sau cat vrei, ii blochezi pagina de login.
2. daca vrei o securitate ca si in cazul SIM-ului de la mobil (care se blocheaza de tot in cazul a 3 login-uri gresite), atunci va trebui sa faci cum a zis crivion, cu un camp in baza de date. Numai sa nu uiti sa il resetezi la 0 cand reuseste login-ul.

edit: varianta a 2-a n-as recomanda-o, cu atat mai putin in cazul in care ai o lista de membri. Nu de alta, dar un rauvoitor poate sa iti buleasca toti userii de pe site luandu-i la rand si bagandu-le 2 parole aiurea. Caz in urma caruia te vei trezi cu toti userii cu conturile blocate.

Sporuri.

[crivion]

hmm bine spus mihaitha, la asta nu ma gandisem

[mandriva2007]

ok am rezolvat pana la urma problema .multumesc inca odata.

[Mascka]

mihaita... pai de ce varianta 2 nu e buna.. resetezi incercarile dupa 5 minute..si gata..

[mihaitha]

Mascka a scris: mihaita... pai de ce varianta 2 nu e buna.. resetezi incercarile dupa 5 minute..si gata.. Citeste mai atent ce am scris. E evident ca n-ai facut-o.

[Mascka]

da mihaita.. am citit inca odata... raman la parerea mea... banuiesc ca te referi la blocarea daca reuseste loginul.. daca da.. pai cum sa reuseasca loginul daca nu te poti loga ca e blocat?!

[mandriva2007]

ceva de genu la cum am cerut eu nu am reusit ,dar de blocat l-am blocat.am incercat mai multe variante,cu toate ca iimi pplace smecheria aia de ecran frozen din windows.dar nu-i nimk .nu sti udak se poa face din php.doar din php,poa in flash sau java.in fine.

[mihaitha]

Maska, a te chinui sa resetezi incercarile dupa 5 minute, ai nevoie sa implementezi urmatoarele chestii:
1. un camp in baza de date care sa retina timestamp-ul ultimei incercari de logare (altfel cum dracu stii ca au trecut 5 minute?)
2. un cron care sa ruleze cel putin o data pe minut (ideal ar fi, ca sa resetezi dupa exact 5 minute, sa ruleze in fiecare secunda) si sa reseteze incercarile mai vechi de 5 minute...

Aceste 2 chestii, care ar solicita imens serverul (ma refer la a doua), sunt absolut redundante pentru ca fac acelasi lucru ca o sesiune sau un cookie.

Maska a scris: banuiesc ca te referi la blocarea daca reuseste loginul.. daca da.. pai cum sa reuseasca loginul daca nu te poti loga ca e blocat?! Ha?!? :angry3:

[Mascka]

Pai draga mihaita... pentru ce sa rulez cron cand insusi vizitatorul este cron pentru contul lui?
daca contul cu userul "mascka" a fost blocat in urma unei repetate incercari de login.. si vin eu maine sa ma loghez.. cand am bagat userul mascka si dau submit scriptul verifica intai timpul, daca e trecut de 5 min verifica parola daca nu.. ma avertizeaza ca nu am voie sa ma loghez si nu mai face interogarile..

hai ca e atat de simplu..

[badtiger]

sper sa nu repet ce au zis unii, ca am citit printre randuri..
Eu as face in felul urmator, la x incercari (as pune 5 ... sa fie unii au cate 3-4 parole pe care le fol si uita care a fost pusa si le iau la rand) blochezi ip-ul 30 minute sau (sa fie mai light sa nu stresezi serverul cu prea multe query-uri, pana la fix sau la si jumate (adik in cazul cel mai rau astepata 59min 59 sec si cel mai bun 1 sec).. sper ca intelegi ce am vrut sa zic..

[mihaitha]

Mascka a scris: Pai draga mihaita... pentru ce sa rulez cron cand insusi vizitatorul este cron pentru contul lui?
daca contul cu userul "mascka" a fost blocat in urma unei repetate incercari de login.. si vin eu maine sa ma loghez.. cand am bagat userul mascka si dau submit scriptul verifica intai timpul, daca e trecut de 5 min verifica parola daca nu.. ma avertizeaza ca nu am voie sa ma loghez si nu mai face interogarile..

hai ca e atat de simplu..
Mdea, in conditiile astea ai face cu cu ajutorul unei interogari mysql si au unui camp in plus in baza de date, exact acelasi lucru care l-ar face un simplu cookie. In plus, nu uita ca eu am dat varianta 2 comparand-o cu SIM-ul GSM. Daca iti bagi pin-ul gresit de 3 ori poti sa mai incerci o data dupa 5 minute?...

And for Christ's sake, 'mihaitha'!!!

[PHPRomania Bot]