Autor Zpráva
nnestor
Profil *
chalani je toto prihlasenie bezbecne? dakujem vam velmi pekne
<?php
$LOGIN_INFORMATION = array(
  'admin' => 'demo'
);

define('USE_USERNAME', true);

define('LOGOUT_URL', 'http://www.example.com/');

define('TIMEOUT_MINUTES', 0);

define('TIMEOUT_CHECK_ACTIVITY', true);

if(isset($_GET['help'])) {
  die('Include following code into every page you would like to protect, at the very beginning (first line):<br>&lt;?php include("' . str_replace('\\','\\\\',__FILE__) . '"); ?&gt;');
}

$timeout = (TIMEOUT_MINUTES == 0 ? 0 : time() + TIMEOUT_MINUTES * 60);

if(isset($_GET['logout'])) {
  setcookie("verify", '', $timeout, '/'); 
  header('Location: ' . LOGOUT_URL);
  exit();
}

if(!function_exists('showLoginPasswordProtect')) {

function showLoginPasswordProtect($error_msg) {
?>
<html>
<head>
  <title>Please enter password to access this page</title>
  <META HTTP-EQUIV="CACHE-CONTROL" CONTENT="NO-CACHE">
  <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
</head>
<body>
  <style>
    input { border: 1px solid black; }
  </style>
  <div style="width:500px; margin-left:auto; margin-right:auto; text-align:center">
  <form method="post">
    <h3>Please enter password to access this page</h3>
    <font color="red"><?php echo $error_msg; ?></font><br />
<?php if (USE_USERNAME) echo 'Login:<br /><input type="input" name="access_login" /><br />Password:<br />'; ?>
    <input type="password" name="access_password" /><p></p><input type="submit" name="Submit" value="Submit" />
  </form>
  <br />
  <a style="font-size:9px; color: #B0B0B0; font-family: Verdana, Arial;" href="http://www.zubrag.com/scripts/password-protect.php" title="Download Password Protector">Powered by Password Protect</a>
  </div>
</body>
</html>

<?php
  // stop at this point
  die();
}
}

// user provided password
if (isset($_POST['access_password'])) {

  $login = isset($_POST['access_login']) ? $_POST['access_login'] : '';
  $pass = $_POST['access_password'];
  if (!USE_USERNAME && !in_array($pass, $LOGIN_INFORMATION)
  || (USE_USERNAME && ( !array_key_exists($login, $LOGIN_INFORMATION) || $LOGIN_INFORMATION[$login] != $pass ) ) 
  ) {
    showLoginPasswordProtect("Incorrect password.");
  }
  else {
    // set cookie if password was validated
    setcookie("verify", md5($login.'%'.$pass), $timeout, '/');
    
    // Some programs (like Form1 Bilder) check $_POST array to see if parameters passed
    // So need to clear password protector variables
    unset($_POST['access_login']);
    unset($_POST['access_password']);
    unset($_POST['Submit']);
  }

}

else {

  // check if password cookie is set
  if (!isset($_COOKIE['verify'])) {
    showLoginPasswordProtect("");
  }

  // check if cookie is good
  $found = false;
  foreach($LOGIN_INFORMATION as $key=>$val) {
    $lp = (USE_USERNAME ? $key : '') .'%'.$val;
    if ($_COOKIE['verify'] == md5($lp)) {
      $found = true;
      // prolong timeout
      if (TIMEOUT_CHECK_ACTIVITY) {
        setcookie("verify", md5($lp), $timeout, '/');
      }
      break;
    }
  }
  if (!$found) {
    showLoginPasswordProtect("");
  }

}

?>
Beater
Profil
Myslím že by to malo byť bezpečne ale v riadku 38 sa me niečo nepáči .
No neviem toho ešte moc ale asi tam niečo nieje Good , napravte ma niekto ak sa mýlim .
-.- -.- -.-
  
<style>
    input { border: 1px solid black; }
</style>
panther
Profil
Beater
ale v riadku 38 sa me niečo nepáči .
a co přesně?
nnestor
Profil *
<style>
    input { border: 1px solid black; }
</style>
toto je spravne , mne skor ide o to ci je to dost bezpecne z hladiska php
Radek9
Profil
Beater:
Nepleť dohromady PHP a CSS.
fandaa
Profil
nnestor
Stačí ukradnout cookie a jsem přihlášen.
drashaa
Profil *
Doufám, že je to přihlašování na nějaký placený portál. Je opravdu "bezpečné". Dej sem link na stránku, kde to použiješ :).
nnestor
Profil *
no ja to skor potrebujem na zabezpecenie administracie na stredne velky portal. no tak tu je link : http://vysoketatry.us
tululum
Profil *
Nebezpečné, tohle prolomí i uplný začátečník..
BTW: To si ze mě snad děláš prdel ne? Teď jsi nám všem dal jednoduchý návod, jak ti hacknout web.. stačí jít na http://vysoketatry.us/admin a tam to snadno prolomíš díky kódu pro přihlašování, který jsi nám všem dal..
První, co je pro tvůj web nebezpečné jsi ty a tvá dúvěryhodnost.. Protože postnout tyhle CITLIVÉ informace na veřejné fórum je sebevražda..

Takže nezbývá než popřát GL & HF
tululum
Profil *
PS: Ok, nevšiml jsem si omezení pro určité IP adresy (což je dost blbé, protože jestli by jsi nutně potřeboval něco změnit třeba z práce (nebo odněkud, kde to nemáš povolené - kavárna, knihovna..), tak nebudeš moct.

Ale stejně, kód, který jsi poslal pro přihlašování je kravina. Rozhodně je kravina používat cookies.. Použij sessions a bude to mnohonásobně lepší..
Filip111
Profil
trochu uhnu od původního tématu, protože jsem tenhle kód ani nedočetl...dělat "portál" tímhle způsobem je sebevražda,
mám na mysli HTML s inline PHP kódem.
Koukni se po nějakém šablonovacím systému.

A místo cookies používej přinejmenším sessions

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: