Autor | Zpráva | ||
---|---|---|---|
rkomoras Profil |
Dělám jednu administraci zabezpečenou na heslo...prosím posuďte jestli je to bezpečné, nebo jestli mám využít jiný způsob...
index.php <?php session_start(); require_once("connset.php"); if($_SESSION["admin"]==1) { header("Location: admin.php"); } ?> ... <form action="login.php" method="post"> Jméno<br /> <input type="text" name="loginname" /><br /> Heslo<br /> <input type="password" name="password" /><br /> <input type="submit" value="Přihlásit" /> </form> ... login.php <?php session_start(); $loginname = $_POST["loginname"]; $password = $_POST["password"]; if ($loginname=="jmeno" && $password=="heslo") { $_SESSION["admin"] = 1; header("Location: admin.php"); } else { header("Location: index.php?err"); } ?> admin.php a jemu podobné <?php session_start(); require_once("connset.php"); if ($_SESSION["admin"]==1) { #HTML obsah apod. } else { header("Location: index.php"); } ?> |
||
Jan Tvrdík Profil |
#2 · Zasláno: 7. 7. 2008, 18:26:41
rkomoras
Když pominu, že by to šlo napsat lépe, tak bych řekl, že to je bezpečné |
||
rkomoras Profil |
#3 · Zasláno: 7. 7. 2008, 18:29:22
že by to šlo napsat lépe
jak lépe? |
||
Jan Tvrdík Profil |
#4 · Zasláno: 7. 7. 2008, 18:31:12
rkomoras
Např. napsat funkci: function pozadovatPrihlaseni() { if(!isset($_SESSION["admin"])) header("Location: index.php"); } a vkládat ji na začítek stránek, je to hezčí, než to celé balit to podmínky :) |
||
rkomoras Profil |
#5 · Zasláno: 7. 7. 2008, 18:39:06
Jan Tvrdík
To je pravda, ale už to takhle mám všude... |
||
Časová prodleva: 1 rok
|
|||
denCo Profil |
#6 · Zasláno: 13. 7. 2009, 11:32:02
ale ber to tak, ze session sa daju ukradnut a potom sa prihlasi do tvojho administrativneho panela, a v pohode bude prihlaseny ako admin
|
||
fuckin Profil |
#7 · Zasláno: 13. 7. 2009, 11:41:37
denCo
Jak ukradnout? |
||
Jan Tvrdík Profil |
#8 · Zasláno: 13. 7. 2009, 12:09:30
|
||
denCo Profil |
#9 · Zasláno: 13. 7. 2009, 18:02:34
„Jak ukradnout?“
Jan Tvrdík ti poslal link, ktory by ti mal stacit, a ver tomu ze kebyze niekto si da zalezat na tom, aby ti to ukradol a nemal by si to ochranene kontrolovanim IP alebo niecim podobnym, tak by si si dlho neuzil tu stranku |
||
rkomoras Profil |
#10 · Zasláno: 13. 7. 2009, 18:08:05
No kontrolu IP bych tam určitě nedával...
Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?) |
||
denCo Profil |
#11 · Zasláno: 13. 7. 2009, 19:01:46 · Upravil/a: denCo
„No kontrolu IP bych tam určitě nedával...
Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?)“ preco by si nedaval IP? cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty |
||
rkomoras Profil |
#12 · Zasláno: 13. 7. 2009, 19:07:25
„preco by si nedaval IP? “
A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP... „Nebo je ještě jiná možnost?“ |
||
tiso Profil |
#13 · Zasláno: 13. 7. 2009, 19:08:47
denCo: „cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty“
Poprosím vysvetliť ako si to myslel. |
||
fuckin Profil |
#14 · Zasláno: 13. 7. 2009, 19:37:50
Jan Tvrdík
Tak ukradnuti session bych se fakt nebal, jelikos SID neposila pres url ale pres cookie tak to mu zarucuje velkou bezpecnost, jeste jsem se s nicim takovym nesetkal, a to sem se o teto problematice bavil s mnoha odborniky, a dokonce i s hackery. |
||
Mastodont Profil |
#15 · Zasláno: 13. 7. 2009, 22:13:20
Ti paranoidnější mohou pro každý požadavek znovu volat session_regenerate_id ..
|
||
denCo Profil |
#16 · Zasláno: 14. 7. 2009, 10:09:04 · Upravil/a: denCo
„A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP...“
asi ma tu nikto nepochopil... ked sa prihlasis, tak si nastavis do session nejaku hodnotu podla ktorej mozes vstupit do administracneho panela... ja nastavim aj IP a prehliadac z ktoreho sa prihlasis... a ked budem chciet ist na administraciu, tak skontroluje, ci mas taku istu IP adresu a prehliadac ako ked si sa prihlasil... |
||
rkomoras Profil |
#17 · Zasláno: 14. 7. 2009, 11:40:01
„asi ma tu nikto nepochopil...“
Ne, to jsem nepochopil... |
||
Časová prodleva: 4 dny
|
|||
dgx Profil |
#18 · Zasláno: 18. 7. 2009, 12:52:17
Mastodont
To raději ne, při rychlém refreshi stránky by to člověka dřív nebo později odhlásilo. |
||
Časová prodleva: 15 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0