| Subiectul anterior :: Subiectul următor |
| Autor |
Mesaj |
DrStupid
Data înscrierii: 14/Iul/2003
Mesaje: 71
Locație: Oradea
|
| Trimis: Sâm Sep 20, 2003 3:51 pm Titlul subiectului: am nevoie de ajutor... |
|
|
am facut in php o aplicatie de logare ... cand se logheaza un user normal ii redirecteaza in pagina user.php iar cand ma loghez cu userul admin ma redirecteaza in pagina admin.php
aici apare problema .. daca scrii in adress bar http://localhost/admin.php intra in pagina fara sa ma loghez . cum pot impiedica pe cineva sa faca asta ?
multumesc mult.. |
|
| Sus |
|
Lucian
Data înscrierii: 02/Oct/2002
Mesaje: 27
Locație: Bacau
|
| Trimis: Sâm Sep 20, 2003 4:33 pm Titlul subiectului: Oare stiu sau nu stiu ? |
|
|
Hmmm...cred ca stiu raspunsul la intrebarea ta sau nu stiu ?....
Cred ca stii foarte bine la ce ma refer, si ar fi bine sa inveti sa fii politicos cu cei din jur.
Si ca sa vezi ca nu sufar de rinocerita, am sa-ti raspund.
Creeaza o variabila de sesiune ce stocheaza numele de user admin si eventual parola acestuia :
session_start();
session_register("SESSION");
if (! isset($SESSION)) {
$SESSION = array();
}
if ($user) {
$SESSION["user"] = $user;
$SESSION["ip"] = $REMOTE_ADDR;
$SESSION["parola"] = $password;
}
In pagina de admin.php fa o functie care verifica de fiecare data numele si parola celui care cere pagina prin variabila de sesiune creata.
Daca nu se potriveste cu datele stocate in sesiune, restrictioneaza accesul.
Un utilizator este logat
* daca $SESSION["user"] este setat (prin pagina login.php) si daca
* adresa de IP se potriveste cu ceea ce am salvat in sesiunea ($SESSION["ip"]) stabilita in pagina login.php -- aceasta verificare nu este una robusta sau securizata. |
|
| Sus |
|
DrStupid
Data înscrierii: 14/Iul/2003
Mesaje: 71
Locație: Oradea
|
| Trimis: Sâm Sep 20, 2003 8:58 pm Titlul subiectului: |
|
|
| mersi mult .. am sa incerc |
|
| Sus |
|
DrStupid
Data înscrierii: 14/Iul/2003
Mesaje: 71
Locație: Oradea
|
| Trimis: Dum Sep 21, 2003 9:22 am Titlul subiectului: |
|
|
am reusit daR ALTFEL ... mult mai simplu
am adaugat la inceputul scriptului admin.php asta :
if ($user != "Dr_Stupid") { die("Trebuie sa fii un admin sa poti accesa pagina."); }
si merge bine |
|
| Sus |
|
Constantin
Data înscrierii: 20/Sep/2002
Mesaje: 236
|
| Trimis: Dum Sep 21, 2003 1:34 pm Titlul subiectului: |
|
|
Ai reusit, dar muuult prea simplu :)
Incearca si acceseaza pagina asa:
http://localhost/admin.php?user=Dr_Stupid
O sa vezi ca va merge si fara autentificare :)
Asta este riscul folosirii register_globals = On. |
|
| Sus |
|
DrStupid
Data înscrierii: 14/Iul/2003
Mesaje: 71
Locație: Oradea
|
| Trimis: Dum Sep 21, 2003 6:26 pm Titlul subiectului: |
|
|
| ok , biine , ai dreptate , dar daca intra George Bush pe site-ul meu , de unde sa stie el ca userul admin e Dr_Stupid ??? mai ales unu` care nu stie php ... sau de unde site care e variabila pe care o trimite .. |
|
| Sus |
|
Constantin
Data înscrierii: 20/Sep/2002
Mesaje: 236
|
| Trimis: Dum Sep 21, 2003 10:23 pm Titlul subiectului: |
|
|
Security through obscurity.
Nu-i o idee foarte buna :) |
|
| Sus |
|
DrStupid
Data înscrierii: 14/Iul/2003
Mesaje: 71
Locație: Oradea
|
| Trimis: Lun Sep 22, 2003 5:33 pm Titlul subiectului: |
|
|
bine
dar daca fac sa verifice si parola asa cum verifica si uesrul ?
tot nu-i bine ?? |
|
| Sus |
|
Constantin
Data înscrierii: 20/Sep/2002
Mesaje: 236
|
| Trimis: Lun Sep 22, 2003 5:48 pm Titlul subiectului: |
|
|
| Ba da, dar mai simplu e sa folosesti sesiuni si $_SESSION. |
|
| Sus |
|
AdriaN>
Data înscrierii: 09/Ian/2003
Mesaje: 5
|
| Trimis: Lun Sep 22, 2003 8:06 pm Titlul subiectului: |
|
|
Daca te intereseaza sa afli mai multe despre sucuritatea site-urilor incearca:
http://www.hulla-balloo.com/hack/
http://www.hackthissite.org/ |
|
| Sus |
|
PHPRomania Bot
Bot Member
Data înscrierii: 27/Dec/2007
Mesaje: 1
Locaţie: Server Google |
| Trimis: Mie Dec 26, 2007 7:01 pm Titlul subiectului: Ad |
|
|
|
|
|
| Sus |
|
| |
