am facut in php o aplicatie de logare ... cand se logheaza un user normal ii redirecteaza in pagina user.php iar cand ma loghez cu userul admin ma redirecteaza in pagina admin.php
aici apare problema .. daca scrii in adress bar http://localhost/admin.php intra in pagina fara sa ma loghez . cum pot impiedica pe cineva sa faca asta ?
multumesc mult..
am nevoie de ajutor...
Moderatori: Zamolxe, Moderatori
-
Lucian
- PHPRomania Supporter
- Mesaje: 27
- Membru din: Joi Oct 03, 2002 12:06 am
- Localitate: Bacau
- Contact:
Oare stiu sau nu stiu ?
Hmmm...cred ca stiu raspunsul la intrebarea ta sau nu stiu ?....
Cred ca stii foarte bine la ce ma refer, si ar fi bine sa inveti sa fii politicos cu cei din jur.
Si ca sa vezi ca nu sufar de rinocerita, am sa-ti raspund.
Creeaza o variabila de sesiune ce stocheaza numele de user admin si eventual parola acestuia :
session_start();
session_register("SESSION");
if (! isset($SESSION)) {
$SESSION = array();
}
if ($user) {
$SESSION["user"] = $user;
$SESSION["ip"] = $REMOTE_ADDR;
$SESSION["parola"] = $password;
}
In pagina de admin.php fa o functie care verifica de fiecare data numele si parola celui care cere pagina prin variabila de sesiune creata.
Daca nu se potriveste cu datele stocate in sesiune, restrictioneaza accesul.
Un utilizator este logat
* daca $SESSION["user"] este setat (prin pagina login.php) si daca
* adresa de IP se potriveste cu ceea ce am salvat in sesiunea ($SESSION["ip"]) stabilita in pagina login.php -- aceasta verificare nu este una robusta sau securizata.
Cred ca stii foarte bine la ce ma refer, si ar fi bine sa inveti sa fii politicos cu cei din jur.
Si ca sa vezi ca nu sufar de rinocerita, am sa-ti raspund.
Creeaza o variabila de sesiune ce stocheaza numele de user admin si eventual parola acestuia :
session_start();
session_register("SESSION");
if (! isset($SESSION)) {
$SESSION = array();
}
if ($user) {
$SESSION["user"] = $user;
$SESSION["ip"] = $REMOTE_ADDR;
$SESSION["parola"] = $password;
}
In pagina de admin.php fa o functie care verifica de fiecare data numele si parola celui care cere pagina prin variabila de sesiune creata.
Daca nu se potriveste cu datele stocate in sesiune, restrictioneaza accesul.
Un utilizator este logat
* daca $SESSION["user"] este setat (prin pagina login.php) si daca
* adresa de IP se potriveste cu ceea ce am salvat in sesiunea ($SESSION["ip"]) stabilita in pagina login.php -- aceasta verificare nu este una robusta sau securizata.
-
Constantin
- PHPRomania Coder Professional
- Mesaje: 236
- Membru din: Vin Sep 20, 2002 12:38 pm
- Contact:
Ai reusit, dar muuult prea simplu 
Incearca si acceseaza pagina asa:
http://localhost/admin.php?user=Dr_Stupid
O sa vezi ca va merge si fara autentificare
Asta este riscul folosirii register_globals = On.
Incearca si acceseaza pagina asa:
http://localhost/admin.php?user=Dr_Stupid
O sa vezi ca va merge si fara autentificare
Asta este riscul folosirii register_globals = On.
-
Constantin
- PHPRomania Coder Professional
- Mesaje: 236
- Membru din: Vin Sep 20, 2002 12:38 pm
- Contact:
-
Constantin
- PHPRomania Coder Professional
- Mesaje: 236
- Membru din: Vin Sep 20, 2002 12:38 pm
- Contact:
Daca te intereseaza sa afli mai multe despre sucuritatea site-urilor incearca:
http://www.hulla-balloo.com/hack/
http://www.hackthissite.org/
http://www.hulla-balloo.com/hack/
http://www.hackthissite.org/
Cine este conectat
Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 21 vizitatori