Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Авторизация на PHP

 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> PHP
 
Автор Сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Пт Dec 08, 2006 6:15 pm    Заголовок сообщения: Авторизация на PHP
Ответить с цитатой

В данной статье мы рассмотрим авторизацию посетителей. Ограничить доступ к ресурсам сайта можно несколькими способами, например, средствами Web-сервера Apache, создав файл .htpassw. Такой путь не всегда удобен, так как перенос файлов на другой сервер требует воссоздания .htpassw по новой, кроме того, при таком способе довольно утомительно осуществлять смену пароля. В связи с этим, разработчики часто прибегают к авторизация на PHP, не смотря на то, что такая защита более подвержена взлому.

В данной статье будет рассмотрен принцип подобной авторизации, и она позволит вам организовать что-то подобное на своем сайте. Отталкиваться мы будем от Web-приложения Гостевая книга (на MySQL), которую можно свободно загрузить из раздела downloads.

http://www.softtime.ru/info/gbmysql.php

Обычно к панели администрирования (admin/index.php) доступ ограничивается средствами Apache, мы же рассмотрим скрипт, позволяющий ограничить доступ при помощью PHP.
Хранение логина и пароля будет осуществляться в файле, так как это не требует доступа к базе данных и может быть использовано в других Web-приложениях.

Теперь немного об организации защиты. Все действия на странице администрирования предполагается проводить через один файл (index.php), подавляя при этом прямые вызовы других скриптов. В этом же файле будет проверяться и логин с паролем. В основе механизма защиты будут лежать сессии, но в качестве альтернативы можно воспользоваться и cookie. Сессии являются более надёжным вариантом, так как в отличие от cookie хранятся на сервере и вероятность несанкционированного доступа к ним существенно снижена.
Замечание

Весь дальнейший код основывается на коде Гостевой книги, поэтому для удобства её следует загрузить с сайта.
auth.php

<?php

// Данный файл всегда будит "включаться" в другие файлы
// директивой include поэтому следует запретить его самостоятельный вызов
// из строки запроса путём указания его имени
// Если не определена константа IN_ADMIN – завершаем работу скрипта
if(!defined("IN_ADMIN")) die;

// Начинаем сессию
session_start();
// Помещаем содержимое файла в массив
$access = array();
$access = file("access.php");
// Разносим значения по переменным – пропуская первую строку файла - 0
$login = trim($access[1]);
$passw = trim($access[2]);
// Проверям были ли посланы данные
if(!empty($_POST['enter']))
{
$_SESSION['login'] = $_POST['login'];
$_SESSION['passw'] = $_POST['passw'];
}

// Если ввода не было, или они не верны
// просим их ввести
if(empty($_SESSION['login']) or
$login != $_SESSION['login'] or
$passw != $_SESSION['passw'] )

{
?>
<a href="index.php">Вернуться в администрирование гостевой книги</a>
<form action=index.php method=post>
Логин <input class=input name=login value="">
Пароль <input class=input name=passw value="">
<input type=hidden name=enter value=yes>
<input class=button type=submit value="Вход">
<?php
die;
}
?>

Файл с логином и паролем access.php имеет следующую структуру:

<?php die; ?>
admin
passw
Замечание

Для осуществления более надёжной защиты пароль и логин можно подвергнуть необратимому шифрованию при помощи функции md5()

Обратите внимание, при обращении к файлу из окна браузера работа скрипта будет остановлена в первой строке функцией die(), не позволяя вывести логин (admin) и пароль (passw) в окно браузера.

Теперь следует создать управляющий файл, через который мы будем получать доступ ко всем остальным файлом системы администрирования. Переименуйте файл index.php в main.php в директории admin гостевой книги и создайте новый файл index.php со следующим содержанием.

<?php

// Указываем что данный файл главный,
// определяя константу IN_ADMIN, так как
// нигде больше эта константа не определяется,
// но везде проверяется её существование, работать
// с панелью администрирования можно только
// через файл index.php
define("IN_ADMIN", TRUE);

// Проверяем права доступа
include "auth.php";

// Получаем параметр op из URL
$op = $_GET['op'];

// Выбираем нужное нам действие
switch ($op)
{
case 'main' : include "main.php"; break;
case 'delp' : include "delpost.php"; break;
case 'editform' : include "editcommentform.php"; break;
case 'edit' : include "editcomment.php"; break;
case 'hide' : include "hide.php"; break;
case 'show' : include "show.php"; break;
default : include "main.php";
}
?>

Осталось немного. Теперь следует запретить доступ к остальным скриптам, от прямого вызова. Для этого необходимо в начало каждого файла (за исключением нового index.php) осуществить проверку константы IN_ADMIN.

<?php
if(!defined("IN_ADMIN")) die;
?>

Вот собственно и весь принцип. Но гостевая не работает? Все верно, следует поменять еще пару строк, а именно, все ссылки заменить на вызов файла index.php, передав ему соответствующий параметр op. Tе кто не скачивал скрипт гостевой, могут пропустить следующие шаги. Файл main.php (бывший index.php) - следует поменять ссылки в строках (около) 35 и 36 на:

<?php
if(!$guest['hide']) $showhide = "<a class='menu' href=index.php?op=hide&id_msg=".$guest['id_msg']."&start=$start title='Скрыть сообщение из списка выводимых на сайте'>Скрыть сообщение</a>";
?>

а строки с 63 по 70 заменить на:

<?php
echo "<p class='menu'><a class='menu' href=index.php?op=editform&id_msg=".$guest['id_msg']."&start=$start title='Редактировать сообщение'>Редактировать</a>";
// Ссылка на правку сообщений
echo "&nbsp;&nbsp;".$showhide;
// Ссылка на удаление сообщений
echo "&nbsp;&nbsp;<a class='menu' href=index.php?op=delp&id_msg=".$guest['id_msg']."&start=$start title='Удалить сообщение'>Удалить сообщение</a>";
echo "</p>";
?>

Файл editcommentform.php. Следует заменить строку (около) 29 на:

<form action=index.php?op=edit method=post>

Все. Гостевая с закрытой панелью администрирования готова. Не забудьте изменить файл access.php, выставив в нём логин и пароль помудрее Smile Конечно подобная система не может претендовать на серьезную защиту, но на первое время этого должно хватить, и позднее вы сами сможете ее улучшить. При использовании базы данных, возможности подобной авторизации можно легко расширить, создав несколько логинов для, если администрированием занимается более чем один человек.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13870
Откуда: Кировоград, Украина

СообщениеДобавлено: Пн Фев 26, 2007 5:42 pm    Заголовок сообщения:
Ответить с цитатой

Вот читаю статейку. Все бы ничего - да, сессии нужно использовать, но сам алгоритм можно и переделать. Но больше всего режет глаза навазние

1) Аутентификация - для того, чтобы распознать, кто именно вошел.
2) Авторизация - для того, чтобы предоставить соответствующие права.

В статье идет речь только о проверке имени пользователя и пароля, но не слова о правах доступа, получается что ее нужно было назвать Аутентификация на PHP. Вот так
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> PHP Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис