Собственно вот:
Полная Версия: На сколько НЕ безопасен такой скрипт?
| Код |
| <?php if (isset($_POST['check'])); { $password = isset($_POST['pass'])?$_POST['pass']:null; if ($password == 1) header('Location: http://localhost/admin/indexw.php'); else echo ("Введите пароль: "); } ?> <form action="" method="post"> <input name="pass" type="text" /> <input name="check" type="submit" value="Войти" /> </form> |
Спустя 6 минут, 38 секунд (9.03.2009 - 15:09) twin написал(а):
А это что вообще? Если пароль равен 1 то редерикт на сверхсекретную страницу? а если просто в адресной строке набрать http://localhost/admin/indexw.php ????
Спустя 1 минута, 57 секунд (9.03.2009 - 15:11) freed-master написал(а):
Да это я тоже потом понял 
но ведь название страницы никому не известно (оно будет не таким как в примре:)
но ведь название страницы никому не известно (оно будет не таким как в примре:) Спустя 19 минут, 7 секунд (9.03.2009 - 15:30) waldicom написал(а):
Небезопасен.
Читать насчет SQL-Injection и читать насчет сессий
Читать насчет SQL-Injection и читать насчет сессий
Спустя 7 минут, 10 секунд (9.03.2009 - 15:37) twin написал(а):
| Цитата |
| Читать насчет SQL-Injection |
обязательно надо, но применительно к данному случаю никак.
| Цитата |
| Да это я тоже потом понял но ведь название страницы никому не известно (оно будет не таким как в примре:) |
Ерунда полная. Даже такой момент - захочешь сменить админа, и что, менять адрес? да и найти не такая уж задача. Нужно защищать именно нужную страницу. То есть не пустить, если что то не то. Ну хотя бы так:
| PHP |
if ($password !== 1) |
Спустя 2 минуты, 32 секунды (9.03.2009 - 15:40) waldicom написал(а):
| Цитата (twin @ 9.03.2009 - 13:37) | ||
Нужно защищать именно нужную страницу. То есть не пустить, если что то не то. Ну хотя бы так:
|
А иначе что делать?
ИМХО такие вещи делаются только с применением сессий/кукисов
Спустя 4 минуты, 23 секунды (9.03.2009 - 15:44) twin написал(а):
| Цитата |
| ИМХО такие вещи делаются только с применением сессий/кукисов |
Ну можно бэйсик авторизацию, оч даже ничего. Простенько и со вкусом.
Спустя 1 час, 3 минуты, 20 секунд (9.03.2009 - 16:48) freed-master написал(а):
Я вот наткнулся на статью про базовую аутентификацию. Мне понравилось, только вот не пойму почему не работает. Создал файлы .htpasswd и .htaccess все как положено, четко по инструкции.
А вот дальше непонятки, со слов: "Файл с паролем создан и защищен от несанкционированного доступа. Теперь необходимо создать файл .htaccess, который будет использоваться в защищаемой директории"
Ведь файл .htaccess уже создан с текстом:
А вот дальше непонятки, со слов: "Файл с паролем создан и защищен от несанкционированного доступа. Теперь необходимо создать файл .htaccess, который будет использоваться в защищаемой директории"
Ведь файл .htaccess уже создан с текстом:
| Код |
| <Files .htpasswd> deny from all </Files> |
Дополнить его же или создать еще один, тогда в какую дирректорию его ложить? И вообще, как понимать фразу "файл .htaccess, который будет использоваться в защищаемой директории" это обязательно?
Спустя 37 минут, 4 секунды (9.03.2009 - 17:25) twin написал(а):
Спустя 15 минут, 3 секунды (9.03.2009 - 17:40) freed-master написал(а):
Отличненько!
_____________
Всем, кто заинтересован, могу помочь начать зарабатывать на forex.
Пишите в личку или на e-mail: flash-dirt@yandex.ru
Здесь расположена полная версия этой страницы.