Autor Zpráva
rkomoras
Profil
Dělám jednu administraci zabezpečenou na heslo...prosím posuďte jestli je to bezpečné, nebo jestli mám využít jiný způsob...
index.php
<?php
session_start();
require_once("connset.php");

if($_SESSION["admin"]==1) {
header("Location: admin.php");
}
?>
...
    <form action="login.php" method="post">
      Jméno<br />
      <input type="text" name="loginname" /><br />
      Heslo<br />
      <input type="password" name="password" /><br />
      <input type="submit" value="Přihlásit" />      
    </form>
...

login.php
<?php
session_start();

$loginname = $_POST["loginname"];
$password = $_POST["password"];

if ($loginname=="jmeno" && $password=="heslo") {
$_SESSION["admin"] = 1;
header("Location: admin.php");
}
else {
header("Location: index.php?err");
}
?>

admin.php a jemu podobné
<?php
session_start();
require_once("connset.php");
if ($_SESSION["admin"]==1) {

#HTML obsah apod.


}
else {
header("Location: index.php");
}
?>
Jan Tvrdík
Profil
rkomoras
Když pominu, že by to šlo napsat lépe, tak bych řekl, že to je bezpečné
rkomoras
Profil
že by to šlo napsat lépe
jak lépe?
Jan Tvrdík
Profil
rkomoras
Např. napsat funkci:
function pozadovatPrihlaseni()
{
  if(!isset($_SESSION["admin"])) header("Location: index.php");
}


a vkládat ji na začítek stránek, je to hezčí, než to celé balit to podmínky :)
rkomoras
Profil
Jan Tvrdík
To je pravda, ale už to takhle mám všude...
denCo
Profil
ale ber to tak, ze session sa daju ukradnut a potom sa prihlasi do tvojho administrativneho panela, a v pohode bude prihlaseny ako admin
fuckin
Profil
denCo
Jak ukradnout?
Jan Tvrdík
Profil
fuckin:
Jak ukradnout?
http://www.phpguru.cz/clanky/session-hijacking
denCo
Profil
Jak ukradnout?
Jan Tvrdík ti poslal link, ktory by ti mal stacit, a ver tomu ze kebyze niekto si da zalezat na tom, aby ti to ukradol a nemal by si to ochranene kontrolovanim IP alebo niecim podobnym, tak by si si dlho neuzil tu stranku
rkomoras
Profil
No kontrolu IP bych tam určitě nedával...
Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?)
denCo
Profil
No kontrolu IP bych tam určitě nedával...
Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?)

preco by si nedaval IP?
cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty
rkomoras
Profil
preco by si nedaval IP?
A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP...
Nebo je ještě jiná možnost?
tiso
Profil
denCo: „cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty
Poprosím vysvetliť ako si to myslel.
fuckin
Profil
Jan Tvrdík
Tak ukradnuti session bych se fakt nebal, jelikos SID neposila pres url ale pres cookie tak to mu zarucuje velkou bezpecnost, jeste jsem se s nicim takovym nesetkal, a to sem se o teto problematice bavil s mnoha odborniky, a dokonce i s hackery.
Mastodont
Profil
Ti paranoidnější mohou pro každý požadavek znovu volat session_regenerate_id ..
denCo
Profil
A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP...
asi ma tu nikto nepochopil... ked sa prihlasis, tak si nastavis do session nejaku hodnotu podla ktorej mozes vstupit do administracneho panela... ja nastavim aj IP a prehliadac z ktoreho sa prihlasis... a ked budem chciet ist na administraciu, tak skontroluje, ci mas taku istu IP adresu a prehliadac ako ked si sa prihlasil...
rkomoras
Profil
asi ma tu nikto nepochopil...
Ne, to jsem nepochopil...
dgx
Profil
Mastodont

To raději ne, při rychlém refreshi stránky by to člověka dřív nebo později odhlásilo.
Toto téma je uzamčeno. Odpověď nelze zaslat.