|
|
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Как сделать так что когда администратор сайта входит на сайт (тобиш я) Откывались дополнительные кнопочки по администрированию? Спасибо за помощь ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.07.2003, 14:22 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Я обычно делаю так: У пользователя есть номер, определяющий его роль. Чем больше номер, тем больше у него прав. Ну а в скрипте после логина, я пишу что-то вроде Код: plaintext 1. Вот вроде и все. Чего тут думать то? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.07.2003, 14:32 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Ну так для этого надо чтобы пользователи вводили логин и пороль? Просто так же нельзя без логинов? И для логинов нужно базы использовать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.07.2003, 15:54 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
логин и пароль - это самый надежный способ, лично я использую .htaccess им закрываю доступ на папку, в которой лежит система управлением сайта... а если хочешь чтоб не вводился логин и пароль, то определяй себя по какому то признаку, например проверяй ай-пи, если твой, то выводи админские функции... для логинов использование баз совсем не обязательно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2003, 12:15 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Какой-нибудь файл вроде auth.php: Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. А в самой странице сделать Код: plaintext 1. 2. 3. 4. 5. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2003, 13:15 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
> md5($HTTP_POST_VARS["pass"]) Никогда так не делай. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2003, 10:20 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Хмм, я бы сказал, никогда не делай > setcookie("pass", зашифрованный_пароль но почему нельзя делать > md5($HTTP_POST_VARS["pass"]) ??? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2003, 14:41 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
А проверить, нет ли каких-либо недопустимых символов и тому подобной лабудни, что низя? Или просто по забывчивости забыли это указать??? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2003, 16:26 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
>но почему нельзя делать > md5($HTTP_POST_VARS["pass"]) потому, что md5 - это хэш. то есть одному значению $HTTP_POST_VARS["pass"] всегда будет соответствовать одно и тоже значение md5. И если md5 хэш передается в cookies, то это тоже самое, что и открытый пароль. потому надо генерировать md5 на основе пароля + некоего случайного значения, хранящегося на сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2003, 17:11 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Stellar > то есть одному значению $HTTP_POST_VARS["pass"] всегда будет > cоответствовать одно и тоже значение md5. на практике это почти так, но в теории - нет. Можно подобрать 2 значения, хеши которых будут одинаковыми. А вообще-то есть стандартный механизм авторизации через сессии который избавляет от записи в куки логинов, паролей и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2003, 20:52 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Не, ну господа, это-же не серьезно....... Если шарахаться от каждого куста, то можно вообще разбить бошку об дерево (надо запомнить ). Если надо шифровать конкретно пароли, то чем не удовлетворяют способы шифровки у МуСи? Или бд даже в проекте нету? К тому-же я опять таки не вижу смысла хранить пароль в куке...... это-же вообще смехота...... Взял, стрельнул чужой кук и все, я тут хозяин, вы мои рабы :). Думаю лучше делать такой-вот авторизацию: - Проверка в скрипте пароля (кодированный/некодированный, какая на хрен разница) - Запись в сессию данных об челе - Запись даты/времени захода чела (если прошло 30 минут или более, то по новой авторизируйся...) - Проверка. Все. Где хранить номера сессий сами решайте. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 02:34 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
>удовлетворяют способы шифровки у МуСи? Ты про функцию password() ? mysql_query("UPDATE user SET password=PASSWORD('your password') WHERE user='XXX'"); Если так, то на 2 недостатка могу назвать: 1. по линии mysql-client -----------> mysql_server пароль идет в открытом виде 2. если ведется лог-файл все пароли будут в этих логах в открытом виде По сессионной авторизации, взять pear::auth и не выдумывать (хотя я бы еше проверку IP туда добавил) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 13:46 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
2Макс М.: > Если так, то на 2 недостатка могу назвать: > 1. по линии mysql-client -----------> mysql_server пароль идет в > открытом виде > 2. если ведется лог-файл все пароли будут в этих логах в открытом виде И без этого можно узнать пароль! =) По любому, если заморочиться с защитой, как пентагон, то тогда понадобяться метры кода только для кодировки :).... Ну, кстати, по нормальному логи надо чистить, или ставить настройки, чтоб они не хранились =)...... > По сессионной авторизации, взять pear::auth и не выдумывать > (хотя я бы еше проверку IP туда добавил) Ну это несколько несерьезно, а своими ручками от начала и до конца слабо? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 14:35 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
2ScableR вопрос безопасности можно обсуждать и обсуждать, на самом деле как мне кажеться, все зависит от конкретной ситуации. Для администрирования сайта лично я предпочитаю .нтаццесс им закрываю ппапку, куда ложу управление... довольно удобно и не нужно думать об авторизациях, сервер сам подумает... для авторизации пользователей удобнее по другому, хотя и так тоже иногда ничего, все зависит от обстоятельств... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 15:39 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
©Felix если хтаксесом папку закрывать, то неудобно изменение админского пароля через админ-интерфейс делать. ScableR > Ну это несколько несерьезно, а своими ручками от начала и до конца слабо? Во-первых - лень (хотя контейнер для использования ADODB я все же ручками написал) Во-вторых, этот класс проверен временем (а значит надежен, хотя поддержку sha1 добавить не помешало бы + проверку по IP - но это я сам ручками исправил) В-третьих, я последние 2 года пользовался самописным классом авторизации (правда он был рассчитан лишь на использование mysql в качестве хранилища данных о пользователе) и ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 17:35 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
2Макс М.: > хранилища данных о пользователе) и ??? Да, действительно, на эту тему можно дискуссировать сутками, а так и не прийти к единому решению, но все-же каждый выбирает по своему... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 19:26 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
2Макс М. почему не удобно... обыкновенная форма, обрабатываеться и системно выполняем .нтпассвд с параметрами из формы... вполне нормально... 2ScableR я то и говорю... каждому свой песок в своей песочнице.. кому что вобщем :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2003, 20:27 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
вообще... Ну и пусть пароль идёт незашифрованым по сети, на серваке его потом обработать md5+(к примеру) наложить на него логин и сранивать с уже существующими записями(хешированными) в б.д. там или текстовом файлике. Кстати исли работать с базами, то вообще хватит стандартных методов авторизации и не надо изобретать велосипед.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2003, 14:21 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
> Ну и пусть пароль идёт незашифрованым по сети :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2003, 17:25 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Подскажите что нужно что бы использовать pear::auth, и где взять ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2004, 17:57 |
|
||
|
Права доступа на сайт
|
|||
|---|---|---|---|
|
#18+
Отсюда скачай. Там внизу описаны классы с ссылками, которые могут понадобиться ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2004, 18:44 |
|
||
|
|
start [/forum/topic.php?fid=23&msg=32205875&tid=1480077]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
39ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
57ms |
get tp. blocked users: |
1ms |
| others: | 16ms |
| total: | 156ms |
| 0 / 0 |
