ну куки хэширует по md5 пароль

quickxyan
А так можно? Ну к примеру setcookie("pass", md5(пароль))? так что ли получается?

ну да. я затупил - думал, что он сам шифрует в мд5. да именно так и надо

quickxyan
Ага! Ясненько. Сейчас буду экспериментировать.

quickxyan
Да. Сработало. Спасибо.

еще вопрос. Я сделал структуру таким образом. Создал папку log в ней есть index с проверкой логина и пароля, далее в ней же есть cookie и в ней же создается session. При открытии админки, если нет ыуыышщт то идёт перенаправление на папку log. Хочется сделать так, что бы если есть cookie с паролем и логином (а они есть!) то при открытии index в админке, не было редиректа на папку log.

Реально где то запутался в коде.

Почему то если проверяю на странице сущ cookie вот таким способом [php]if(isset($_COOKIE['login']) && isset($_COOKIE['password'])) то ничего не происходит. Подскажите кто знает. Спасибо.

Черт. Ни как не получается проверить на сущ cookie.

Вобще условие написано правильно. Вот только функция isset() может принимать несколько аргументов. Лучше сделать так:

 if ( isset($_COOKIE['login'], $_COOKIE['password']) ) 

А вобще, напиши этот кусок кода и что у тебя висит в куках на момент проверки

Другое ) как передать cookie на другую страницу?

Куки хранятся в браузере у конкрентого пользователя, а не на странице. Т.е. они доступны на всех страницах данного сайта

RAZZOR
Вот и я так думаю. Сейчас кусок кода скину.

Вот это код отвечает за ввод логина и пароля

if(isset ($_POST['login']))
{
    $name = (isset ($_POST['name'])) ? $_POST['name'] : '';
    $password = (isset ($_POST['password'])) ? md5($_POST['password']) : '';
    $result = mysql_query("SELECT COUNT(*) AS `cnt` FROM `table1`
                           WHERE user='". mysql_real_escape_string($name) ."'
                           AND password='". $password ."'"
                         );
     if (mysql_result($result, 0) == 0)
        {
         $ok = 'Нет такой!!!';
    }
    else
        {
        setcookie("auth", "$name", time()+3600);
        setcookie("pass", "$password", time()+3600);
        $_SESSION['ok'] = $name;
        $ok = 'Есть такой!!!';
        header('Refresh: 2; url=../index.php');
    }
}

Вот этот код проверяет, если есть cookie то идет проверка и если норм и проверка прошла то перенаправляем.

if (isset($_COOKIE['auth']) && isset($_COOKIE['pass']))
    {
     $name = mysql_real_escape_string($_COOKIE['auth']);
     $password = mysql_real_escape_string($_COOKIE['pass']);

        $result = mysql_query("SELECT COUNT(*) AS `cnt` FROM `adminc`
                           WHERE user='". mysql_real_escape_string($name) ."'
                           AND password='". $password ."'"
                         );
//$ok = (mysql_result($result, 0) == 0) ? 'Нет такого!' : 'Есть такой';
     if (mysql_result($result, 0) == 0)
        {
         $ok = 'Нет такой!!!';
    }
    else
        {
        //$ok = 'Все норм. Ты прошел проверку.';
        header('Refresh: 0; url=../index.php');
        $_SESSION['ok'] = $name;
    }
}

код выше находится по пути http://www.sitename.ru/admin/log/index.php


Но есть еще и страница http://www.sitename.ru/admin/index.php
Вот собственно хочется сделать на ней прогверку, если cookie есть, то все хорошо, на ней и остаемся, а если нет - то переадрессовываем на log/index.php. Где собственно и есть форма для ввода логина и пароля.

Так а в чём собственно проблема?

Проблема в том, что страница http://www.sitename.ru/admin/index.php я не могу на нее сделать проверку cookie.

Смотрите, как я понимаю систему авторизации в админ панели.
1. Если введен адресс http://www.sitename.ru/admin/index.php, и нет cookie с логином и паролем, то переадресовываем на http://www.sitename.ru/admin/log/index.php
2. Вводим логин и пароль.
3. Создать cookie с логином и паролем.
4. Если хочется выйти - выходим и удаляем cookie.
5. Если я просто закрываю браузер, то cookie сохраняются, и при следующем обращении к http://www.sitename.ru/admin/index.php, проверяется на наличии cookie и если есть то вот это http://www.sitename.ru/admin/log/index.php пропускаем а попадаем сразу на http://www.sitename.ru/admin/index.php.

Вот собственно проблема в 5 пункте.

Так а куки в браузере вобще прописываются?

У вас в первом листинге скримт дёргает логин-пароль из table1, а во второй раз - из adminc. Это так и задумано, или что?

RAZZOR
Да нет. Там adminc везде. Это я тупанул. понимаете, я не могу понять, как мне на index странице в админке, проверять на существование cookie, если есть то все нормально а иначе перенаправлять в папку log.

В общем пропишите внутри ифа, который проверяет на наличие кук что-нибудь вроде

echo 'cookies working';

И если выведет, то куки работают исправно и надо разбираться с MySQL запросом. Выводите на экран, что именно он возвращает и разбирайтесь. А ещё, я бы советовал делать редирект при помощи

header("Location: index.php");
die();

Именно с die(); в конце. Ибо пользователь уже ушел и серверу незачем дальше работать впустую

RAZZOR
Еще уточнение. Если я вывожу на index странице adminки вот это

echo $_COOKIE['auth'];

то ничего не происходит.
А если на странице в папке log эта же надпись нормально работает!

Если бы $_COOKIE['auth'] не существовало, то должен был бы появиться ворнинг (У вас показ ошибок вобще включён на сервере?). А раз его нету, то может быть проблема в том, что выводит, да не там, где вы ожидаете. Или белым цветом на белом фоне. Или скрипт вобще до этого места не доходит из-за какого-нибудь if-else. Или ещё чего. Или опять таки у вас выключено отображение ошибок, но я понятия не имею, как тогда можно заниматься дебаггингом. Всё-равно, что на кофейной гуще гадать

RAZZOR
Ладно. Спасибо все равно вам. Буду разбираться.

neadekvat
Есть такое дело.

Ха. Есть ошибочка.

Почему то index странице в админке. Есть только [PHPSESSID]. А на странице index в папке log Есть и [auth] и [pass] и [PHPSESSID].

В setcookie(); добавляйте 4й параметр:

setcookie("pass", "$password", time()+3600, '/');

Как оно там будет?

Кстати, оставлять только логин и пароль в кукисах ни в коем случаи нельзя. Это, можно сказать, дырка: входи, не хочу.

neadekvat

На сессиях все работает.

neadekvat

neadekvat
Нет! Со словами все норм. Почему так получилось? Пока не удалил, то все не работало. Кстати. Уничтожать cookie - в моем случае

setcookie("auth", "");
setcookie("path", "");

Так или нет?

Мысли есть, но озвучивать не буду - там несколько нюансов есть, не могу расписывать.

neadekvat
Спасибо что помогли. Как я понимаю безопасность такого метода это отдельная тема?

neadekvat
Ну да. Это факт. Я использую вот эту авторизацию тут. номер 2!

m4a1fox, там нет упоминаний о кукисах. Без них авторизация вполне надежна. Кроме одного - кажется, чтобы "выйти" придется перезапустить браузер.

neadekvat
Во-во! Это вы точно подметили. Собственно как с этим бороться наверно никто не знает. Поэтому сегодня и пытался сделать авторизацию на cookie что бы можно было сделать выход.

neadekvat
Попытался. С Вашей помощью - получилось. Но придется отказаться. А может вы знаете где про это можно толково почитать?

neadekvat
Может что то посоветуете. По поводу возможности выхода из админки?

Никогда не храните пароли, ни в каком виде в куках!!!
Это огромная дыра в безопасности!
В куках должен быть только id сессии и не более.

neadekvat
Да, на сессиях можно. Но жаль что если закрыть браузер, а потом открыть, то придется заново вводить пароль...

neadekvat

neadekvat
Ага! Ясно! Значит делать все на session. Уже все варианты перепробывал.)

neadekvat
Можно еще у Вас спросить, чуток не по теме?

Просто хочу что бы Вы как эксперт чуть подсказали по логике.

Мне кажется, вы чего-то не понимаете. Ну, или я не понимаю того, что вы говорите.

Сессии - это файлы, которые хранятся на сервере. Для каждой сессии - свой файл. Вот пример содержания:

user_id|s:1:"5";user_ip|s:9:"127.0.0.1";

Т.е. это та информация, которую вы в сессии и храните.

А PHPSESSID - это идентификатор сессии. Обычно он хранится в куках. Именно по нему php и узнает, что за пользователь это и какими данными надо наполнить массив $_SESSION и из какого файла.

Т.е. сессии и кука PHPSESSID связаны напрямую. Нет PHPSESSID - нет сессии.

P.S.
Я не являюсь экспертом.

neadekvat

Вам именно автологин нужен или пока что решили разобраться с обычной авторизацией?

Есть админ панель. Досту к ней - http://www.sitename.ru/admin/index.php.
Хочу отказаться от index.php. А создать файл например login.php. Разместить его в директории http://www.sitename.ru/login.php. И если все нормально то перенаправляем на определенный файл, например content.php в папке http://www.sitename.ru/damin/content.php. Как думаете так можно делать?

neadekvat

neadekvat
Только вот проблемка, как перенаправлять на файл login.php если я ввожу в строке браузера http://www.sitename.ru/admin/?

В.htaccess не получилось.... жаль идея была ничего...

Я не буду описывать формы авторизации (на самом деле аутентификации), проверки паролей и т.д.

Допустим, что логин и пароль соответствуют действительности, т.е. такая связка есть в бд (или в файле - смотря где хранятся логины и пароли пользователе) - пользователь существует.

Теперь можно добавить, например, такие поля в сессию (потому что эти значения пользователь изменить не может): user_id, user_agent (браузер), user_ip. Не забудьте перед этими операциями начать сессию (session_start()).

Далее от вас требуется только в каждой странице стартовать сессию и проверять значения сессионных переменных (тех, которые вы сохранили при авторизации, теперь они в _SESSION) и фактических (которые хранятся в _SERVER). Если все совпадает - считаем, что пользователь авторизован и предоставляем ему какие-то привилегии. Если не совпадает - значит просим еще раз пройти аутентификацию.

Описанное в предыдщем обзаце можно выделить в отдельный файл и подключать в начале других исполняющих файлов.

Сразу поясню, в чем разница:
аутентификация - грубо говоря, проверка логина и пароля. Т.е. мы узнаем, есть ли у человека в принципе доступ;
авторизация - это присвоение человеку, прошедшему доступ (или гостю), своих привилегий. Например, гости могут только читать, а админ - делать, что хочет.

neadekvat
Ясно. Значит аунтификации... так как мне переадресовывать с http://www.sitename.ru/admin на http://www.sitename.ru/login.php при условии что в.htaccess не получается. Делаю так

Redirect /admin/ http://www.sitename.ru/login.php

При условии что в папке админ нет index файла, а в настройках.htaccess есть вот это

Options -Indexes

В файле авторизации введите какую-нибудь переменную или константу, обозначающую успешную или неуспешную аутентификацию. Допустим, AUTH.
Затем в индексном файле админки пишите

if ( ! AUTH) {
    header('location: '. http://www.sitename.ru/login.php);
    die;
}

neadekvat
Вариант! сейчас буду пробовать!

Капец я седня..

if ( ! AUTH) {
    header('location: http://www.sitename.ru/login.php');
    die;
}

Но ведь я тоже самое могу делать и с проверкой на session.

neadekvat
Согласен.
Подскажите пожалуйста, в чем разница

header('Refresh: 0; url = ../index.php');

и

header('Location: ../index.php');

насколько я заметил, второй вариант как бы быстрее....

Location в rfc есть, а Refresh я встречал только в тэге meta, так что рекомендую пользоваться моим способом.

neadekvat
Ага! Понятно. Взял на заметку. Спасибо.
И насчет сессий.
В общем я сделал так. Если введен логин и пароль, и они успешно прошли проверку, то создаю сессию с именем. Потом проверяю на сущ. эту сессию на страницах. Вот так получилось.

neadekvat
А! Секунду извините)

Вот аунтификация

if(isset ($_POST['login']))
{
    $name = (isset ($_POST['name'])) ? $_POST['name'] : '';
    $password = (isset ($_POST['password'])) ? md5($_POST['password']) : '';
    $result = mysql_query("SELECT COUNT(*) AS `cnt` FROM `adminc`
                           WHERE user='". mysql_real_escape_string($name) ."'
                           AND password='". $password ."'"
                         );
     if (mysql_result($result, 0) == 0)
        {
         $ok = '<font color="red">Неверный логин или пароль</font>';
    }
    else
        {
        $_SESSION['ok'] = $name;
        header('Location: ../index.php');
        die ();
    }
}

А потом вот это

$_SESSION['ok'] = $name;

проверяю на страницах.

if (!isset ($_SESSION['ok']))
{
header ('Location:../log/');
}
else
{

Тут исполняемы код всей странице

ну и закрываем тег

<?}?>

neadekvat
Спасибо. Исправляю.