Сделал для админки аутентификацию на mysql.
Поставил в начале index и всех остальных. Получается что - при входе через любой
файл админики больше пароль не запрашивается какой бы файл я не открыл - можно фланировать по ней свободно.
Значит ли это что глобальные переменные с пользователем и паролем не уничтожаются и если да не является ли это дырой в безопасности.
Спасибо.
Спустя 5 часов, 25 минут, 59 секунд (16.08.2010 - 04:58) twin написал(а):
Переменные не уничтожаются. Как раз наоборот. Браузер при каждом запросе предьявляет их на опознание.
Спустя 2 дня, 17 часов, 7 минут, 39 секунд (18.08.2010 - 22:05) BoB написал(а):
Спасибо, почти все ясно. И еще - спасибо создателям сайта.
Спустя 13 дней, 17 часов, 43 минуты, 53 секунды (2.09.2010 - 15:49) franko написал(а):
Создал админку по уроку Базовая индетификация http://irbis-team.com/15/13/4
Использую Вариант 2. Защита одним файлом с использованием БД
и не могу зайти в админку.
User - admin
Password - 21232f297a57a5a743894a0e4a801fc3
Пробую вводить: 'admin' и 21232f297a57a5a743894a0e4a801fc3. С кавычками и без кавычек
Проверьте - неработает код. У меня
В чем может загвоздка?
Использую Вариант 2. Защита одним файлом с использованием БД
и не могу зайти в админку.
User - admin
Password - 21232f297a57a5a743894a0e4a801fc3
Пробую вводить: 'admin' и 21232f297a57a5a743894a0e4a801fc3. С кавычками и без кавычек
Проверьте - неработает код. У меня
В чем может загвоздка?
Спустя 4 минуты, 40 секунд (2.09.2010 - 15:54) Basili4 написал(а):
franko
21232f297a57a5a743894a0e4a801fc3 - это не пароль это хеш пароля
21232f297a57a5a743894a0e4a801fc3 - это не пароль это хеш пароля
Спустя 5 минут, 32 секунды (2.09.2010 - 15:59) franko написал(а):
ну хорошо.
ставлю в таблице adminc в строке password значение 777
ввожу новый пароль 777
результат тот же.
ставлю в таблице adminc в строке password значение 777
ввожу новый пароль 777
результат тот же.
Спустя 7 минут, 3 секунды (2.09.2010 - 16:07) Basili4 написал(а):
franko
Блин ........ а ты в базу попробуй f1c1592588411002af340cbaedd6fc33 это вставь а парль 777 вводить
Блин ........ а ты в базу попробуй f1c1592588411002af340cbaedd6fc33 это вставь а парль 777 вводить
Спустя 5 минут, 50 секунд (2.09.2010 - 16:12) franko написал(а):
Basili4
недогоняю. в поле password - одно значение, в вводить нужно другое?
недогоняю. в поле password - одно значение, в вводить нужно другое?
Спустя 1 минута, 28 секунд (2.09.2010 - 16:14) Basili4 написал(а):
franko
слово ХЕШ тебе что то говорит если нет по гугли такие слова MD5, CRC32, SHA1
слово ХЕШ тебе что то говорит если нет по гугли такие слова MD5, CRC32, SHA1
Спустя 3 минуты (2.09.2010 - 16:17) franko написал(а):
может кто-нибудь простым языком объяснить?
Спустя 1 час, 23 минуты, 51 секунда (2.09.2010 - 17:41) Kuliev написал(а):
| Цитата (franko @ 2.09.2010 - 18:17) |
| может кто-нибудь простым языком объяснить? |
Запусти такой скрипт
$key = 777;
echo $key .'Это пароль который ввели <br>';
echo md5($key) .'А это ХЕШ пароля 777';
Спустя 19 минут, 17 секунд (2.09.2010 - 18:00) franko написал(а):
Спасибi!
Из того же урока
INSERT INTO `adminc` ( `id` , `user` , `password` ) VALUES ('', 'admin', '21232f297a57a5a743894a0e4a801fc3');
При желании в дальнейшем можно будет добавить ещё пользователей. Но пока только один. 'admin' => 'admin'
Теперь выведем в нашей программе запрос к базе данных при введении логина и пароля, экранируя специальные символы для этого запроса при вводе логина. Пароль экранировать не нужно, функция md5() не пустит ничего лишнего.
Нужно помнить о магических кавычках, иначе будет двойное экранирование.
Вопрос - для чего нужно экранировать логин? Я ввожу admin без ' ' и осуществляю ввод в админ часть. Почему это возможно?
Из того же урока
INSERT INTO `adminc` ( `id` , `user` , `password` ) VALUES ('', 'admin', '21232f297a57a5a743894a0e4a801fc3');
При желании в дальнейшем можно будет добавить ещё пользователей. Но пока только один. 'admin' => 'admin'
Теперь выведем в нашей программе запрос к базе данных при введении логина и пароля, экранируя специальные символы для этого запроса при вводе логина. Пароль экранировать не нужно, функция md5() не пустит ничего лишнего.
Нужно помнить о магических кавычках, иначе будет двойное экранирование.
Вопрос - для чего нужно экранировать логин? Я ввожу admin без ' ' и осуществляю ввод в админ часть. Почему это возможно?