| |
|
|
| | Здравствуйте! Вот я написал систему авторизации для админки, хотел бы узнать как в коде с защитой, если да то что надо сдлать?
При вводе правильного пароля то стазу происходит авторизация, а так как сделать что бы выходило сообщение об ошибке?
<?php
session_start();
ob_start();
$sid = session_id();
$my_password = "7363a0d0604902af7b70b271a0b96480";
$ip_adress=$_SERVER['REMOTE_ADDR'];
if($sid === $_COOKIE['online'])
{
print "Sicret"; // själva info...
} else {
$password=$_POST['password'];
if(md5(md5(md5(($password)))) === $my_password)
{
setcookie("online", $sid);
header("location: aminka.php");
} else {
print "<h2>Logga in!</h2>";
echo "<form name='login' method='post'>
<input type='password' name='password'>
<input type='submit' value='Logga in'>
</form>";
}
}
?>
|
| |
| |
|
|
| |
|
|
| |
для: JESS
(03.07.2008 в 22:21)
| | | шо це таке? | |
| |
|
|
| |
|
|
| |
для: Valick
(03.07.2008 в 23:29)
| | | ну ничего не понимаю =( | |
| |
|
|
| |
|
|
| |
для: JESS
(03.07.2008 в 23:36)
| | | Если напрямую обратиться к скрипту /adminka.php - то скрипт выполниться, не важно ввели вы пароль или не ввели, ведь так? | |
| |
|
|
| |
|
|
| |
для: mihdan
(03.07.2008 в 23:39)
| | | нет, я защищаю информацию там где "Secret" написано, сначала надо ввсети парол 123 а потом показываеться информация | |
| |
|
|
| |
|
|
| |
для: JESS
(03.07.2008 в 23:36)
| | |
if(md5(md5(md5(($password)))) === $my_password)
|
Это вообще что такое? | |
| |
|
|
| |
|
|
| |
для: mihdan
(03.07.2008 в 23:40)
| | | это проверка пароля $my_password, с веденным в форме | |
| |
|
|
| |
|
|
| |
для: JESS
(03.07.2008 в 23:43)
| | | А зачем md5 3 раза о_О | |
| |
|
|
| |
|
|
| |
для: mihdan
(03.07.2008 в 23:55)
| | | ну типа сложность побольше | |
| |
|
|
| |
|
|
| |
для: JESS
(04.07.2008 в 00:04)
| | | Вы с автором этой темы не знакомы? | |
| |
|
|
| |
|
|
| |
для: BinLaden
(04.07.2008 в 00:14)
| | | знаком, а эго примере делал свой | |
| |
|
|
| |
|
|
| |
для: JESS
(04.07.2008 в 00:16)
| | | > а эго примере делал свой
Крайне Вам не советую следовать примеру данного товарища. Это называется борьба со фобией, а не со взломщиками. | |
| |
|
|
| |
|
|
| |
для: BinLaden
(04.07.2008 в 00:19)
| | | а каким примером следует следовать? | |
| |
|
|
| |
|
|
| |
для: BinLaden
(04.07.2008 в 00:19)
| | | Ну я для того и выкладывал скрипт, чтобы знающие люди могли подсказать мне, как бороться со взломщиками...
Но как-то ответа я так и не получил пока. | |
| |
|
|
| |
|
|
| |
для: Blaster
(04.07.2008 в 09:28)
| | | полезно посещать сайты хакеров, они там очень хорошо разъясняют, как и что поломать на раз плюнуть. Я у них в первую очередь учусь защищать свои сайты.
По поводу md5 не один раз. если его и применять, то с так называемой "солью", т.е. при каждом следующем md5 добавляется строка "соли", но как показывают те же хакеры, это не спасает, если пароль изначально слаб.
Требуйте ввода не менее 7 символов, цифры, буквы и спецзнаки. 6 символьные ВСЕ пароли уже перебраны и хранятся в базе у хакеров. Сам проверял, какой хэшированный 6-символьный пароль не вводил на проверку, вскрывался через несколько секунд! С 7-символьными уже гораздо сложнее, с каждым порядком возрастает время перебора., и они еще не вскрыты все. пока. | |
| |
|
|
| |
|
|
| |
для: GeorgeIV
(04.07.2008 в 10:14)
| | | Да не, про md5 все понятно. И бесплатные базы хэшей уже в сети расплодились.
Только вот что касается соли... если не извесно, какая именно соль добавляется к паролю, то, имхо, пароль так просто не сломаешь... кстати, шифровать два раза - тоже вариант. Т.к. в хэше 32 символа, то на его подбор, по идее, уйдут годы...
А я инетересовался именно методом защиты сессий... ну и куков... вот, кстати, так и жду ответа ;) | |
| |
|
|
| |
|
|
| |
для: JESS
(03.07.2008 в 22:21)
| | | Загружаем форму логина. Добавляем в броузер куку с именем online и значением идентификатора сессии. Перезагружаем страницу - авторизация пройдена. | |
| |
|
|
| |
|
|
| |
для: Loki
(04.07.2008 в 15:16)
| | | ну вот я так и делаю...говорят, небезопасно... | |
| |
|
|
| |
|
|
| |
для: Blaster
(04.07.2008 в 20:34)
| | | а как безопасно сделать? что в сессию добавлять? | |
| |
|
|
