| Autor | Zpráva | ||
|---|---|---|---|
| Hanisx Profil |
#1 · Zasláno: 2. 3. 2015, 23:14:49
Zdravím,
Potřeboval bych, aby jedna stránka na mém webu nebyla přístupná pro lidi, kteří vstoupí na web, ale byla přístupná pouze pro admina. Jak to lze provést? Děkuji za odpověď. |
||
| Joker Profil |
#2 · Zasláno: 2. 3. 2015, 23:38:11
Podle čeho se pozná admin?
|
||
| Hanisx Profil |
Joker:
Na webu mám jednoduché příhlášení a potřeboval bych, aby se na tu stránku dostal jen ten "admin", když je je přihlášený na webu. Přihlášení vypadá nějak takhle: <form method="POST" action="">
<?php
session_start();
if(isset($_GET['logout']))
{
session_destroy();
echo "Byl jsi odhlášen.<meta http-equiv='refresh' content='2;url=informace.php'><br>";
}
if(isset($_SESSION['username']))
{
echo "Uživatel: <b>".$_SESSION['username']."</b><br>";
echo "<br />";
echo "<a class='target' href='blabla.php?soubor=blablabla'>";
echo "Tabulka";
echo "</a>";
?>
<br />
<a class="target" href='?logout=true'>Odlásit se</a><br>
<?php
}
else
{
?>
<label>Jméno</label>
<br />
<input type="text" name="username">
<br />
<label>Heslo</label>
<br />
<input type="password" name="password">
<br />
<input class="button" type="submit" name="logme" value="Přihlásit se"><br>
<?php
if(isset($_POST['logme']))
{
include "pages/connect.php";
mysql_connect($mysql_ip,$mysql_user,$mysql_pass);
mysql_select_db($mysql_name);
$query = mysql_query("SELECT * FROM users WHERE username='".$_POST['username']."'");
if(mysql_num_rows($query) == 1)
{
$fetch = mysql_fetch_array($query);
if($_POST['password'] == $fetch['password'])
{
echo "<br />";
echo "Úspěšné přihlášení.<meta http-equiv='refresh' content='2;url=blabla.php'>";
$_SESSION['username'] = $_POST['username'];
}
else
echo "";
}
else
echo "";
}
}
?>
</form> |
||
| mimochodec Profil |
#4 · Zasláno: 3. 3. 2015, 01:16:21
Hanisx:
Na Jokerovu otázku neodpovídáš. Kde je informace, že někdo je admin? Vyčleň k tomu nějaký sloupec v tabulce users, pak to dej třeba do $_SESSION['level'] a pak to budeš moct na stránce použít. |
||
| Joker Profil |
#5 · Zasláno: 3. 3. 2015, 07:02:35
Hanisx:
Fajn. A podle čeho se pozná admin? Ono to bude prostě a jednoduše něco jako: if (/*uživatel není admin*/) {
die("Nemáte oprávnění");
}
else {
// zobraz stránku
}Jinak ten výše uvedený skript není ideální. Když zadám heslo „heslo“ a jméno „' OR password="heslo" LIMIT 1--“, přihlásí mě to pod účtem prvního uživatele, který má heslo „heslo“. |
||
| Giga Profil |
#6 · Zasláno: 3. 3. 2015, 07:33:20
Hanisx
stránku pre admina pomenuj napr: dh5e5dmfhs.php a postaraj sa, aby na ňu nebol nikde žiadny odkaz! |
||
| Joker Profil |
#7 · Zasláno: 3. 3. 2015, 12:48:56
Giga:
Tak tomu se říká zabezpečení :-D Nebo tam může dát bílé písmo na bílém pozadí a doufat, že nikoho nenapadne si to označit :-) |
||
| Hanisx Profil |
#8 · Zasláno: 3. 3. 2015, 21:58:47
Joker:
No prakticky žádní uživatelé tam nebudou, je tam pauze admin :D takže asi tak..... zkouším to tedy napsat nějak takhle, ale nejde to napíše to "nemáte opravnění" i když sem přihlášený na admina.... if ($_SESSION['username'] != "admin") {
die("Nemáte oprávnění");
}
else{
} |
||
| lionel messi Profil |
#9 · Zasláno: 3. 3. 2015, 22:10:43
Hanisx:
„zkouším to tedy napsat nějak takhle, ale nejde to napíše to "nemáte opravnění" i když sem přihlášený na admina....“ Ukáž zvyšok kódu, v tomto úryvku chyba nie je. |
||
| snazimse Profil |
Hanisx
„zkouším to tedy napsat nějak takhle, ale nejde to napíše to "nemáte opravnění" i když sem přihlášený na admina....“ Pak zřejmě podmínka,není v pořádku. Tohle, by se to mělo zapsat takto, podle mě. if ($_SESSION['username'] !== "admin") {
die("Nemáte oprávnění");
}
else{
} |
||
| martin1312 Profil |
#11 · Zasláno: 4. 3. 2015, 01:55:55
V $_SESSION['username'] zrejme nie je reťazec "admin". Pred tým overením si ho vypíš:
var_dump($_SESSION['username']);
if ($_SESSION['username'] != "admin") {
die("Nemáte oprávnění");
}
else{
}session_start();)?
|
||
| Joker Profil |
Hanisx:
„No prakticky žádní uživatelé tam nebudou, je tam pauze admin“ Což neznamená, že to takhle může zůstat. Ale jestli nejsou potřeba žádní jiní uživatelé kromě admina, asi bych se vykašlal na tyhle pokusy o registraci a udělal jednoduše zaheslovanou stránku. Nějak takhle: Stránka: <?php
session_start();
header('Content-type: text/html;charset=UTF-8');
require "zaheslovani.php";
vyhod_neprihlasene();
?>
Tajný obsah stránkyzaheslovani.php: <?php define("HESLO", '$2y$10$7kpEx.sDSnDL3dTTrVOFueZC4fu7QgqW3EjqTSRk79F6Eoer0amSu');
// Trochu prasácký způsob definování HTML kódu formuláře, lepší by byl zvláštní soubor/šablona:
define('LOGINFORM', '<form action="" method="post"><label>Heslo?</label><input type="password" name="heslo"><input type="submit" value="Odeslat></form>');
function prihlasit($heslo) {
if (password_verify($heslo, HESLO)) {
$_SESSION["admin"] = true;
return true;
}
return false;
}
function odhlasit() {
unset($_SESSION["admin"]);
}
function vyhod_neprihlasene() {
if (empty($_SESSION["admin"])) { // není už přihlášený
if (empty($_POST["heslo"])) {
echo '<meta charset="utf-8">';
echo LOGINFORM;
exit();
}
elseif (!prihlasit($_POST["heslo"])) {
echo "Špatné heslo!";
echo LOGINFORM;
exit();
}
}
elseif isset($_GET["odhlasit")) {
odhlasit();
echo "Odhlášen!";
exit();
}
}Poznámka, password_verify funguje až od PHP 5.5. Do PHP od 5.3.7 je lze doplnit (klíčový soubor je lib/password.php, ten je potřeba napojit přes require). Pro starší verze PHP je nutné použít jiné ověření hesla, třeba přes crypt(), v úplně krajním případě mít v kódu heslo otevřené a použít operátor ===. Heslo je určené tou konstantou HESLO a v ukázce to je „admin“. Změna hesla se udělá vygenerováním nového hesla přes password_hash. Například tenhle skript vygeneruje a vypíše hash zadaného vstupu: <?php
header('Content-type: text/html;charset=UTF-8');
if (isset($_POST["password"])) {
echo password_hash($_POST["password"], PASSWORD_DEFAULT);
}
?>
<form action="" method="post"><input type="text" name="password"> <input type="submit" value="Vytvořit hash"></form> |
||
|
Časová prodleva: 9 let
|
|||
0