Autor Zpráva
dvorak
Profil
Dobry den mám problem administraci mám hotovou a nevim jak jí zabespecit aby tam nikdo nevidanej nevlezl takto tady to mám:

<? if ($_SESSION['Prava'] >= 1){ 
echo "stranka pro dane prava ale musim sem vlozit celou stranku i s php skriptama a to nevim jak :(";
}else {
echo "<h3><blink>Error</blink></h3><center>Nemáš práva  -  vypal!</center>";
}
?>
Tomasds
Profil
nevídané
Mastodont
Profil
Co třeba
include 'admin.php';
dvorak
Profil
Tomasds
co myslis tim nevídané ?

Mastodont
include co kdys nekdo bude typovat adresi ?
Mastodont
Profil
dvorak
A jak mu to pomůže?
vynalezce
Profil
co takhle if($jetoadmin=="1"){
if($adminsekce=="1"){echo "obsah sekce 1";
if($textprispevku!=""){
pridani prispevku
}
}
.
.
.

atp
}
dvorak
Profil
vynalezce
nepochopil jsme co to má delat jeto tam 2x
vynalezce
Profil
pokud je uzivatel admin a vybral si v administraci sekci 1 tak se mu vypise obsah te sekce (treba pridani clanku) a pokud text clanku nebude prazdny (aby se nevkladaly pri nacteni nove clanky) tak to bude pokracovat kodem pro pridani prispevku zde oznaceneho jako pridani prispevku
sekci a funkci jednotlivych sekci tam muze byt vic
Tomasds
Profil
dvorak
co myslis tim nevídané ?

Tím myslím tvou otřesnou češtinu. Jestli jsi kamerunský student nebo japonský turista, tak se omlouvám.

Tvůj dotaz je nesmyslný. Píšeš že administraci máš hotovou, pak přihodíš jeden if, který podle existence session zobrazí jednu nebo druhou možnost a pak se ptáš jak "jí zabespecit". Zřejmě vůbec netušíš, jak session používat. Takže administraci hotovou nemáš ani zdaleka. Hledej sessions v php. Doporučil bych linuxsoft.cz/php, ale ten zřejmě právě teď nejede.
imploder
Profil
dvorak
Takže když si doma v počítači vytvořím správnou sušenku, tak dostanu přístup do tvojí administrace a nemusím na to znát žádné heslo. Musí to být zabezpečené kódem. Ten přístupový kód nemá být "1", ale něco o hodně silnějšího. Vhodná je na to funkce uniq_id().

Uživatel se přihlásí svým jménem a heslem a dostane náhodně vygenerovaný přístupový kód. Ten pak používá jako doklad, že má na přístup do administrace právo. Je to jakýsi jeho dočasný klíč. Když se odhlásí, klíč se zničí, a nikdo už ho pak nemůže k přístupu do administrace použít.
dvorak
Profil
Tomasds
Asi si to nejak nepochopil chrousťáku mám hotovou administraci a chybymi zabespečení d*m***e!
Mastodont
Profil
dvorak
S nadávkami tu velmi rychle skončíš.
Nox
Profil
imploder
Jestli to chápu dobře tak kód není "1", je to jen určení práv, stanovené právě zadáním nějakého kódu...aspoň teda doufám :)
Pokud ukradneš třeba adminovi session, tak už je myslím jedno, že tam bude ["prava"]=10 nebo ["kod"]=54S18D9S.
Našel jsem tedy cosi o session poisoning, tak možná takto by v tom byl rozdíl (jestli to chápu dobře), pokud by ten kód byl velmi špatně napsaný (vkládání do session
z dat zaslaných uživatelem bez jakékoliv kontroly)

vynalezce
Jaké přidávání příspěvků? Dvakrát podmínka...jsi trochu zmatený :)

dvorak
<blink> fuj
viz Tomasds a pak si projdi třeba http://zdrojak.root.cz/clanky/prehled-utoku-na-webove-aplikace/ a podobné
Edit: uf, ten poslední post doufám nemyslíš vážně...
DoubleThink
Profil *
Takže když si doma v počítači vytvořím správnou sušenku, tak dostanu přístup do tvojí administrace a nemusím na to znát žádné heslo
No pokud dokážeš uhodnout validní a platné 32bajtové šestnáctkové číslo, tak opravdu nemusíš znát heslo.

Asi si to nejak nepochopil chrousťáku mám hotovou administraci a chybymi zabespečení d*m***e!
Raději brzdi nebo budeš umlčen na věky.
Mimochodem s tou češtinou bys opravdu měl něco dělat, produkuješ horší výstup než čínsko-český translátor.
vynalezce
Profil
Jaké přidávání příspěvků? Dvakrát podmínka...jsi trochu zmatený :)
Neco ta administrace ma delat nebo je snad jen tak na ozdobu vyveseni v robots.txt a tlemeni se nad tim ze to nekdo 2 hodiny hackoval a pak zjistil ze mu to nepomuze :D?
ja bych nerek nepochopils spatne kod? proc si to myslis?
to je pokud je uzivatel prihlasen a je v sekci 1 tak mu to vypise jeji obsah
muze to pokracovat sekci 2,3,4,5,6...
treba prispevky,chat, ankety, db...
ten treti if je tam abych zjistil jestli vyplnil text a kdyby tam nebyl vkladalo by to prazdne prispevky
rekl bych ze takto je to prehlednejsi a je tu jednodusi pridavani sekci jinak by hrozilo (pri pouziti if $jetoadmin=="1" && $sekce=="1" ze na to zapomene a dostane se do casti administrace bez hesla)
Fireous
Profil
Ja to rieším jednoducho.Každý registrovaný užívateľ ma user level,ktorý je uložený v db.Tam sa človek dostane ťažšie ako ukradne session,teda keď sa user prihlási,vybere sa z db jeho userlevel a ak je dostatočný zobrazí sa požadovaný súbor,ale ak to je jediné zabespečenie tak to je dosť slabé
Mastodont
Profil
Dobré je zpřístupnit administraci jen přes speciální URL, generované pro přihlášené uživatele s příslušným oprávněním.
AM_
Profil
vynalezce
Když už nic jiného, tak bych na ty sekce použil alespoň CASE konstrukci.
denCo
Profil
administraciu by som nikdy nespravil len pomocou toho session, lebo tie sa daju ukradnut aj ked namahavo ale daju sa... ja som to spravil tak, ze pri prihlasovani ulozim do session aj ip a prehliadac z ktoreho sa prihlasil a ked vstupy do administrativneho panela, tak skontroluje, ci ip a prehliadac su rovnake ako pri prihlasovani
Mastodont
Profil
denCo
To je dobrý přístup, každý kdo má providera s měnící se IP adresou, ti za něj jistě poděkuje.
Europsky_Dzigolo
Profil
dvorak
<? if ($_SESSION['Prava'] >= 1){ 
?>
<head>
<body>
stranka pro dane prava ale musim sem vlozit celou stranku i s php skriptama a to uz vim jak :)
</body>
</head>
<?php
}else {
echo "<h3><blink>Error</blink></h3><center>Nemáš práva  -  vypal!</center>";
}
?>

cital som len prvy prispevok nvm ci to uz mas nemam cas cele to tu citat
denCo
Profil
To je dobrý přístup, každý kdo má providera s měnící se IP adresou, ti za něj jistě poděkuje.
ti si ma nepochopil... ked sa niekto prihlasi, tak IP s ktorou sa prihlasi sa zaznamena do session a ked tie session niekto ukradne, tak ked pojde na administraciu, tak ho to nepusti a hnet mu to vymaze session takze ma iba jeden pokus, lebo ma inu IP ako vtedy, ked sa prihlasil, a zo session sa neda zistit nic, takze bud bude tipovat IP a aj prehliadace, kym sa mu to nepodari alebo bude odchytavat pakety, co je zlozite, narocne a este aj pracne a dlho to trva
tiso
Profil
denCo: netrep somariny...
denCo
Profil
denCo: netrep somariny...
co myslis???
tiso
Profil
denCo: „takze bud bude tipovat IP a aj prehliadace, kym sa mu to nepodari alebo bude odchytavat pakety, co je zlozite, narocne a este aj pracne a dlho to trva
Môžeš napísať ako sa mu podarí prihlásiť na niekoho iného účet?
fandaa
Profil
denCo
IP se může měnit i za běhu. Pokud používáš internet v mobilu a jedeš třeba vlakem, tak máš klidně i 10 různých IP za cestu. Čili tento způsob se dá opravdu vyloučit.
denCo
Profil
Môžeš napísať ako sa mu podarí prihlásiť na niekoho iného účet?
zeby takto???
http://www.phpguru.cz/clanky/session-hijacking
denCo
Profil
IP se může měnit i za běhu. Pokud používáš internet v mobilu a jedeš třeba vlakem, tak máš klidně i 10 různých IP za cestu. Čili tento způsob se dá opravdu vyloučit.
kolko percent ludi chodi na stranky cez mobil? ja radcej nebudem riskovat session-hijacking... ale aj tak ja to mam iba na administraciu, nie pre kazdeho uzivatela, takze to je len pre potreby moje a ja nechodim na net cez mobil
tiso
Profil
denCo: - ten článok sa týka ukradnutia SID. Ty si v [#22] písal čo som citoval v [#25], tak ešte raz prosím o postup ako sa podarí niekomu prihlásiť na ten iný účet, keď o tom píšeš.
denCo
Profil
ten článok sa týka ukradnutia SID. Ty si v [[url=#22" class="kotva">#22</a>] písal čo som citoval v [#25], tak ešte raz prosím o postup ako sa podarí niekomu prihlásiť na ten iný účet, keď o tom píšeš.
to ja vobec netusim... mne jeden chalan povedal, aby som si to takto zabezpecil... ale to prihlasenie to som trepol asi naozaj somarinu... zato sa ospravedlnujem... mne islo hlavne o to, aby nedavali vsetko na to ci v $_SESSION['prava'] sa rovna 1 alebo nie... ja som to spravil s tym prehliadacom a IP a este som to schoval... napr. www.nieco.sk/acpaycmasdhzasdzv/adminkosomhlavny.php takze to nemaju ako tipnut kde je administracia

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0