Вот мне интересно можно ли взломать эту систему?

Вход:

<html>
<head>
<title>Login</title>
</head>
<body>
<form method="post" action="login.php">
<p>Username: <input type="text" name="username" /></p>
<p>Password: <input type="text" name="password" /></p>
<p><input type="submit" value="OK" /></p>
</form>
</body>
</html>

Защищенная страница:

<?php
if ($_POST["username"] == "123" && $_POST["password"] == "123")
{
session_start();
$_SESSION["Login"] = "YES";	 
}
if ($_SESSION["Login"] != "YES") 
{
header("Location: form.php");
}
?>
<html>
<head>
<title>Login</title>
</head>
<body>
<h1>This document is protected</h1>
</body>
</html>

phphacker наступаэ?

1. Ошибки на экран лезут.
2. Да, можно. Через брутфорс.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Я имел ввиду узнать содержимое защищенной страницы не зная пароль и пароль нельзя через брутфорс подобрать так как он может быть и "@!&%susfg97s6f756HFW8ydfwug()#&@

недельку по брутфорсит - и подберёт.
защиты нет.

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

отключаем FOLLOW LOCATION вот и весь взлом.

реквестирую перевод paul85 в ЛжеЭксперты и исключение оттуда Игоря

_____________

Профессиональная разработка на заказ

Я на GitHub | второй профиль

Достаточно просто форму не отправлять, тогда страница отобразится. Ну если не включено на сервере один параметр.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Давайте полностью объясняйте, а не предположения. Как не отправлять форму?
Тогда сессия ноль будет.

На сервере все параметры включены для защиты.

вот так не отправлять форму, сразу в браузере написать www.site.com/login.php
Сессия не будет ноль, сессии не будет существовать вообще.
А твое условие $_SESSION["Login"] != "YES" - это не тоже самое, что отсутсвие сессии, поэтому это условие не будет выполнено, и скрипт пошагает дальше...
А дальше ..

<h1>This document is protected</h1>

В общем, ты хотел спросить, наверное, надежнее ли хранить пароль прямо в скрипте?
Если админ один, если он имеет доступ к скрипту, то да, надежнее.

Но у тебя тут сам скрипт пестрит ошибками, и не важно, где будет пароль в базе или в скрипте.

_____________
[продано копирайтерам]

AllesKlar
У тебя красивая карма

Qew
Выше ответили
Добавлю, что переадресации в случае ошибки не будет, как бы ты не хотел. Есть случай, когда бывает, но это от настройки сервера зависит, и, очень часто, этот параметр отключен. Поэтому ошибка и всё на экран выведется)

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).