Подскажите как можно защитить администраторский раздел (желательно с примером кода)
Зараннее благодарен за помощь!
Спустя 20 минут, 59 секунд (27.11.2009 - 09:21) DeeKeiD написал(а):
Проверять уровень доступа чтото типо этого:
$logged_in = $_SESSION['user'];
$check_query = mysql_query("SELECT * FROM `users` WHERE `login` = '". $logged_in ."'");
$check_row = mysql_fetch_assoc($check_query);
if($check_row['status'] < 2)
{
echo 'Access denied';
}
else
{
echo 'Welcome to adminpanel';
}
Спустя 4 часа, 17 минут, 50 секунд (27.11.2009 - 13:39) Krevedko написал(а):
прошу прощения...а если $_SESSION['user'] не существует ?
Спустя 1 час, 51 минута, 48 секунд (27.11.2009 - 15:30) glock18 написал(а):
DeeKeiD
ммм... и чем же это поможет, если
ммм... и чем же это поможет, если
| Цитата |
| Если просто ставить пароль могут взломать |
что лично я думаю по этому поводу:
1. вход в админку должен быть спрятан, как только можно.
либо урл сложный какой-нибудь, либо, что еще лучше, "плавающий" - чтобы урл в админку расчитывался по какому-то алгоритму. естественно урл разбираем на сервере и сверяем.
2. не использовать куки для запоминания.
3. для идентификации админа юзать отдельную куку, которой указать путь (path) подходящий только для админки. так если админ решил величественно выйти к сирым людишкам (в основной портал), то его кука не будет на него отправляться.
4. авторизация и хождение по админке по https. крутотень.
5. заходить с одного ip - ограничение по ip
6. заходить с одного браузера - ограничение по useragentу.
7. еще куча вариантов. но
Если это все сделать, то зайти кроме тебя туда вряд ли кто сможет
По крайней мере, придется ооочень стараться. Только сначала подумай, а нужна ли будет эта админка кому-то? Спустя 10 минут, 33 секунды (27.11.2009 - 15:41) denis39 написал(а):
| Цитата (glock18 @ 27.11.2009 - 12:30) |
| 1. вход в админку должен быть спрятан, как только можно. либо урл сложный какой-нибудь, либо, что еще лучше, "плавающий" - чтобы урл в админку расчитывался по какому-то алгоритму. естественно урл разбираем на сервере и сверяем. |
Поможешь реализовать?
Спустя 42 минуты, 42 секунды (27.11.2009 - 16:24) glock18 написал(а):
| Цитата |
| Поможешь реализовать? |
как именно помочь? могу примерно алгоритм описать, как его себе представляю
Спустя 27 минут, 1 секунда (27.11.2009 - 16:51) stepan написал(а):
| Цитата (DeeKeiD @ 27.11.2009 - 06:21) |
| "SELECT * FROM `users` WHERE `login` = '". $logged_in ."'") |
Класс - у меня последнее время логин выглядит вот так
| Цитата |
| ' OR ''='' # |
, преимущество его в том что не нужна регистрация 
Спустя 16 минут, 51 секунда (27.11.2009 - 17:07) FatCat написал(а):
Просто и эффективно:
В файл .htpasswd вгоняю список разрешенных логинов и паролей. Все остальные идут лесом.
<Files ~ "admin.php$">
AuthType Basic
AuthName "By Invitation Only"
AuthUserFile /home/путь/.htpasswd
Require valid-user
</Files>
В файл .htpasswd вгоняю список разрешенных логинов и паролей. Все остальные идут лесом.
Спустя 15 часов, 18 минут, 14 секунд (28.11.2009 - 08:26) DeeKeiD написал(а):
glock18
Ну тогда уж строго по ип
Ну тогда уж строго по ип
Спустя 1 час, 1 минута, 3 секунды (28.11.2009 - 09:27) twin написал(а):
FatCat
Один недостаток есть... Доступ будет открыт, пока открыт браузер. Кнопку "выход" не сделаешь. А вообще мне тоже нравится базовая аунтификация.
Эх, если бы не это.
Один недостаток есть... Доступ будет открыт, пока открыт браузер. Кнопку "выход" не сделаешь. А вообще мне тоже нравится базовая аунтификация.
Эх, если бы не это.