Подскажите пожайлуста какой наиболее лучшей метод хранения Админовских login и password.
Например если хранить в текстовом документе и читать от туда или же прямо в скрипт вписывать.
Как лучше или же прибегать к специальным функциям кодировок.
Заранее спосибо.
Спустя 2 часа, 32 минуты, 36 секунд (24.02.2009 - 19:57) kirik написал(а):
stepan, лучше всего хранить их в .php файле, который при надобности подключать Тогда не страшны взломы (исключение - если ломанут сервер).
Типа:
Типа:
PHP |
<?php |
Спустя 36 минут, 16 секунд (24.02.2009 - 20:34) DDoSяН написал(а):
БД , такие как MySQL и точка, права по-уму расставь и все (ТОЧКА)
Спустя 43 минуты, 47 секунд (24.02.2009 - 21:17) twin написал(а):
Да особой разницы нет, если файл защищен. Тут дело в удобстве. А кодировать нужно, чтоб исходник не узнали, если шелл закинут. Смысл есть только если этот пароль на других ресурсах используется.
Спустя 8 часов, 32 минуты, 22 секунды (25.02.2009 - 05:50) DDoSяН написал(а):
Цитата (twin @ 24.02.2009 - 18:17) |
Да особой разницы нет, если файл защищен. Тут дело в удобстве. А кодировать нужно, чтоб исходник не узнали, если шелл закинут. Смысл есть только если этот пароль на других ресурсах используется. |
Тогда если файл защищен, к ему разговоры?
Если защищено, то можно в .txt ?
ТОгда за такой говнокод тебе руки оборвут
Спустя 31 минута (25.02.2009 - 06:21) kirik написал(а):
Цитата (DDoSяН @ 24.02.2009 - 21:50) |
Если защищено, то можно в .txt ? |
Беспалива
Код |
<Files ~ "(passes.txt)"> order deny,allow deny from all </Files> |
Спустя 7 дней, 2 часа, 57 минут, 32 секунды (2.03.2009 - 09:18) stepan написал(а):
kirik, DDoSяН, twin огромное вам спосибо!
Спустя 11 дней, 12 часов, 51 минута, 59 секунд (13.03.2009 - 22:10) villy написал(а):
я бы сделал папочку no_touch сунул в нее файлик с паролем с расширением php и создал бы еще один файлик в этой папочке с расширением .htaccess
**************
order deny,allow
deny from all
**************
а еще первой строчкой в файле с кодами
<?
die();[s]
$admin_login = 'admin';
$admin_pass = 'qwerty';
?>
ну а сам пароль конечно же зашифрован MD5:)))
**************
order deny,allow
deny from all
**************
а еще первой строчкой в файле с кодами
<?
die();[s]
$admin_login = 'admin';
$admin_pass = 'qwerty';
?>
ну а сам пароль конечно же зашифрован MD5:)))
Спустя 5 минут, 16 секунд (13.03.2009 - 22:15) kirik написал(а):
villy, эээмм а что даст die(); вначале скрипта? вполне достаточно того, что это будет .php файл.. И никакие .htaccess-ы (и md5) не нужны
Спустя 13 часов, 34 минуты, 53 секунды (14.03.2009 - 11:50) villy написал(а):
".htaccess-ы (и md5)"- это уже просто мой изврат:)))
а die() возможно я не прав...если так поправьте:)...если нет htaccess файла в папке то все ее содержимое становится доступным через браузер...
вот представим простейший пример есть файл с паролями passw.php
********************************
<?
$admin_login = 'admin';
$admin_pass = 'qwerty';
?>
********************************
если его просто запустить в браузере то, он естественно ничего не покажет, а если запустить у себя на сервере скрипт
**********************************
<?
print_r(file("http://domain/passw.php"));
echo "<br>Все ок!!!";
?>
**********************************
хотя скорее возможно это фигня самая настоящая, я пробовал на localhost...лень проверять по нормальному так что точно не скажу....
в PHP сижу не так давно максимум 4 месяца... после первого прочтения внушительного материала...начинаю вдаваться в тонкости...
а die() возможно я не прав...если так поправьте:)...если нет htaccess файла в папке то все ее содержимое становится доступным через браузер...
вот представим простейший пример есть файл с паролями passw.php
********************************
<?
$admin_login = 'admin';
$admin_pass = 'qwerty';
?>
********************************
если его просто запустить в браузере то, он естественно ничего не покажет, а если запустить у себя на сервере скрипт
**********************************
<?
print_r(file("http://domain/passw.php"));
echo "<br>Все ок!!!";
?>
**********************************
хотя скорее возможно это фигня самая настоящая, я пробовал на localhost...лень проверять по нормальному так что точно не скажу....
в PHP сижу не так давно максимум 4 месяца... после первого прочтения внушительного материала...начинаю вдаваться в тонкости...
Спустя 2 часа, 44 минуты, 13 секунд (14.03.2009 - 14:35) villy написал(а):
нет это точно не прокатит
*****************************************
<?
print_r(file("http://domain/passw.php"));
echo "<br>Все ок!!!";
?>
******************************************
file("http://domain/passw.php"); вернет уже обработанную страницу на которых уже не будет php кода...
блин а как же все таки прочитать код php с удаленного компа???
*****************************************
<?
print_r(file("http://domain/passw.php"));
echo "<br>Все ок!!!";
?>
******************************************
file("http://domain/passw.php"); вернет уже обработанную страницу на которых уже не будет php кода...
блин а как же все таки прочитать код php с удаленного компа???
Спустя 5 часов, 49 минут, 19 секунд (14.03.2009 - 20:24) kirik написал(а):
Цитата (villy @ 14.03.2009 - 06:35) |
блин а как же все таки прочитать код php с удаленного компа??? |
Никак Единственный возможный вариант увидеть сурс код php файла - загрузить на тот сервер шелл скрипт, через который можно будет лазить по файловой системе сервера, ну и найти этот файл соответственно.
ЗЫ. кстати file("http://domain/passw.php"); на многих серверах работать не будет. Для получения результата страницы с удаленного сервера лучше юзать curl();
Спустя 1 час, 37 минут, 1 секунда (14.03.2009 - 22:01) villy написал(а):
ну да у меня тоже на локальном не сразу запустился...file("http://domain/passw.php");
потом в конфигурационном файле не подправил строчку
allow_url_fopen = On
блин зараза в книге 1000 страниц а функции все равно далеко не все задолбался уже открывать для себя все новые и новые функции....
потом в конфигурационном файле не подправил строчку
allow_url_fopen = On
блин зараза в книге 1000 страниц а функции все равно далеко не все задолбался уже открывать для себя все новые и новые функции....
Спустя 1 минута, 22 секунды (14.03.2009 - 22:02) villy написал(а):
Блин ты бы знал сколько я сегодня времени убил, на раздумья как получить текст PHP... ...хорошо вовремя опомнился и все таки успел сделать програмку сегодня правда не доконца:(((
Спустя 1 минута, 36 секунд (14.03.2009 - 22:04) villy написал(а):
я уже было даже открыл старую книжечку "Web сервер глазами хакер"...читал ее как то мельком...чтобы ознакомиться...кстати хорошая вещь... правда все равно если код не знаешь, то что то сделать довольно трудно...
Спустя 2 минуты, 30 секунд (14.03.2009 - 22:06) villy написал(а):
curl() чего то я не въеду...это нестандартная функция что ли?
Спустя 27 минут, 54 секунды (14.03.2009 - 22:34) kirik написал(а):
да, curl это отдельная библиотека. В новых версиях подключается по умолчанию.
Цитата (villy @ 14.03.2009 - 14:01) |
задолбался уже открывать для себя все новые и новые функции.... |
И будешь постоянно открывать В книжках дают только немного теории, нет смысла разбирать там все функции, так как они разобраны тут.
Спустя 5 минут, 53 секунды (14.03.2009 - 22:40) villy написал(а):
а если в кратце, для чего эта библиотека?
Спустя 5 минут, 40 секунд (14.03.2009 - 22:46) villy написал(а):
вот у меня версия php 5.2.6
с какой версии эта библиотека подключается?
с какой версии эта библиотека подключается?
Спустя 16 минут, 57 секунд (14.03.2009 - 23:03) villy написал(а):
нашел статейку завтра разберусь с этим делом мельком пробегусь:)...
Спустя 48 минут, 58 секунд (14.03.2009 - 23:52) kirik написал(а):
Цитата (villy @ 14.03.2009 - 14:40) |
а если в кратце, для чего эта библиотека? |
Из описания с php.net:
Цитата |
...that allows you to connect and communicate to many different types of servers with many different types of protocols. libcurl currently supports the http, https, ftp, gopher, telnet, dict, file, and ldap protocols. libcurl also supports HTTPS certificates, HTTP POST, HTTP PUT, FTP uploading (this can also be done with PHP's ftp extension), HTTP form based upload, proxies, cookies, and user+password authentication. |
Цитата |
.. дает возможность подключения и работы к множествам разных типов серверов с различными протоколами. libcurl на данный момент поддерживает http, https, ftp, gopher, telnet, dict, file, и ldap протоколы. libcurl также поддерживает HTTPS сертификаты, HTTP POST, HTTP PUT, FTP загрузку (это может быть также сделано с помощью ftp расширения к PHP), загрузку на основе HTTP форм, прокси, кукисов, и аутентификации с помощью имени+пароля. |
Правда это все может быть решено с помощью сокетов, но на практике с curl-ом проще разобраться и удобнее работать. Но сокеты намного более гибкие в работе в отличие от curl-а (кстати его вполне достаточно для решения большинства задач связанных с коммуникацией с другими серверами).
Спустя 14 дней, 21 час, 33 минуты, 51 секунда (29.03.2009 - 20:26) dddddddddddddddd написал(а):
Спустя 6 часов, 13 минут, 10 секунд (30.03.2009 - 02:39) Adil написал(а):
Цитата (villy @ 14.03.2009 - 23:02) |
Блин ты бы знал сколько я сегодня времени убил, на раздумья как получить текст PHP......хорошо вовремя опомнился и все таки успел сделать програмку сегодня правда не доконца:((( |
Если сделаешь програмку, то нам тоже дай))))))
Спустя 1 день, 12 часов, 40 минут, 2 секунды (31.03.2009 - 15:19) Семён написал(а):
Цитата (twin @ 24.02.2009 - 22:17) |
Да особой разницы нет, если файл защищен. Тут дело в удобстве. А кодировать нужно, чтоб исходник не узнали, если шелл закинут. Смысл есть только если этот пароль на других ресурсах используется. |
Это чё тогда за код, что можно так просто шелл закидовать...
Спустя 6 дней, 3 часа, 56 минут, 31 секунда (7.04.2009 - 19:15) ADiel написал(а):
Цитата (villy @ 14.03.2009 - 19:04) |
я уже было даже открыл старую книжечку "Web сервер глазами хакер"...читал ее как то мельком...чтобы ознакомиться...кстати хорошая вещь... правда все равно если код не знаешь, то что то сделать довольно трудно... |
если это известная cms, легче =)