Форум PHP программистов > Безопасность админки

[ Поиск ] - [ Пользователи ] - [ Календарь ]

Владислав

6.03.2011 - 15:29

Нашёл скрипт для защиты админки:

<?php
include("blocks/bd.php");
if (!isset($_SERVER['PHP_AUTH_USER']))

{
Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
Header ("HTTP/1.0 401 Unauthorized");
exit();
}

else {
if (!get_magic_quotes_gpc()) {
$_SERVER['PHP_AUTH_USER'] = mysql_escape_string($_SERVER['PHP_AUTH_USER']);
$_SERVER['PHP_AUTH_PW'] = mysql_escape_string($_SERVER['PHP_AUTH_PW']);
}

$query = "SELECT pass FROM userlist WHERE user='".$_SERVER['PHP_AUTH_USER']."'";
$lst = @mysql_query($query);

if (!$lst)
{
Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
Header ("HTTP/1.0 401 Unauthorized");
exit();
}

if (mysql_num_rows($lst) == 0)
{
Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
Header ("HTTP/1.0 401 Unauthorized");
exit();
}

$pass = @mysql_fetch_array($lst);
if ($_SERVER['PHP_AUTH_PW']!= $pass['pass'])
{
Header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
Header ("HTTP/1.0 401 Unauthorized");
exit();
}
}
?>

Но он выдаёт ошибку:

Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/alive-zone.ru/subdomains/basketball/httpdocs/admin/b...:1) in /home/httpd/vhosts/alive-zone.ru/subdomains/basketball/httpdocs/admin/l... on line 6

Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/alive-zone.ru/subdomains/basketball/httpdocs/admin/b...:1) in /home/httpd/vhosts/alive-zone.ru/subdomains/basketball/httpdocs/admin/l... on line 7

Спустя 11 минут, 12 секунд (6.03.2011 - 14:40) T1grOK написал(а):

Смотрите, есть ли вывод информации до header-ов.

Спустя 1 минута, 37 секунд (6.03.2011 - 14:42) twin написал(а):

Здесь стоит почитать про эту "защиту".

Спустя 21 час, 30 минут, 9 секунд (7.03.2011 - 12:12) VELIK505 написал(а):

Просто интересно а .htaccess почему не пользуемся а изобретаем велосипеды?

Спустя 35 минут, 23 секунды (7.03.2011 - 12:47) Arni написал(а):

Цитата (twin @ 6.03.2011 - 11:42)

Здесь стоит почитать про эту "защиту".

Наверно стоит еще добавить что все это работает только если php как модуль апаче. В ходе последних событий, когда тенденция появляется в пользу php-fpm я бы не стал свой скрипт привязывать к этой штуковене.

Быстрый ответ:

Здесь расположена полная версия этой страницы.