[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Скрипт защиты по паролю
Форум PHP программистов > PHP общие вопросы
xXx_StIl_xXx
5.06.2009 - 06:21
У меня стоит скрипт защиты страниц паролем...
и я хочю узнать можно ли его обойти или взломать.
Что исправить в нём.

PHP
if (!isset($_SERVER['PHP_AUTH_USER']))

{
        Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
        Header ("HTTP/1.0 401 Unauthorized");
        exit();
}

else {
        if (!get_magic_quotes_gpc()) {
                $_SERVER['PHP_AUTH_USER'] = mysql_escape_string($_SERVER['PHP_AUTH_USER']);
                $_SERVER['PHP_AUTH_PW'] = mysql_escape_string($_SERVER['PHP_AUTH_PW']);
        }

        $query "SELECT pass FROM userlist WHERE admin=1 AND user='".$_SERVER['PHP_AUTH_USER']."'";
        $lst = @mysql_query($query);

        if (!$lst)
        {
            Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
        Header ("HTTP/1.0 401 Unauthorized");
        exit();
        }

        if (mysql_num_rows($lst) == 0)
        {
           Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
           Header ("HTTP/1.0 401 Unauthorized");
                   exit();
        }

        $pass =  @mysql_fetch_array($lst);
        if ($_SERVER['PHP_AUTH_PW']!= $pass['pass'])
        {
            Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
           Header ("HTTP/1.0 401 Unauthorized");
           exit();
        }


}




Спустя 5 часов, 55 минут, 14 секунд (5.06.2009 - 11:16) vasa_c написал(а):
Всё достаточно криво, но в данном куске дыр не видно.

PS. А, нет, нашли smile.gif

Спустя 24 минуты, 6 секунд (5.06.2009 - 11:41) twin написал(а):
Есть там дырка. Если режим магических кавычек включен, то mysql_escape_string() обходится.

Спустя 1 час, 28 минут, 31 секунда (5.06.2009 - 13:09) glock18 написал(а):
Цитата
Есть там дырка. Если режим магических кавычек включен, то mysql_escape_string() обходится.


Если режим включен он ведь сам опасные символы экранирует. Как это можно обойти?

Спустя 3 часа, 53 минуты, 48 секунд (5.06.2009 - 17:03) twin написал(а):
Этот режим экранирунт только $_GET $_POST и $_COOKIE. Потому так и называется get_magic_quotes_gpc
А данные беруться совсем не оттуда.

Спустя 24 минуты, 39 секунд (5.06.2009 - 17:28) glock18 написал(а):
Спасибо за разъяснение. smile.gif

Спустя 13 часов, 15 минут, 50 секунд (6.06.2009 - 06:43) xXx_StIl_xXx написал(а):
спс.. а как исправить подскажите
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.