| |
|
|
| | Новая статья :) Я вас не утомил? Надеюсь нет. Решил еще написать статью (мне очень понравилось писать ^_^) об еще одной частой проблеме. Постарался учесть прошлые ошибки. cheops отдаю тебе на первое редактирование, так как ты мне помог в прошлый раз.
В данной статье я бы хотел рассказать, как можно организовать авторизацию пользователей на сайте. Ограничить доступ в директорию можно, например, средствами apache, создав файл .htpassw, но в данном случае при переносе файлов на другой сервер, .htpass придется создавать заново. И зто не удобно, если надо сменить пароль. Поэтому авторизация на php привлекательнее, хотя более подвержена взлому.
Я хочу показать сам принцип подобной авторизации, а вы, прочитав эту статью, сможете организовать что-то подобное на своем сайте. Как пример, я взял Гостевую книгу (на MySQL) на данном сайте. Там можно ограничить доступ к админ. панели одному человеку, с помощью php.
За хранение данных для логина и пароля я избрал файл, поэтому этот вариант не требует доступа к базе, и подойдет ко многим скриптам.
Теперь немного о принципе организации. Все действия предполагается проводить через они файл, он же и будит проверять логин с паролем, а доступ ко всем остальным скриптам следует закрыть. Ниже будит показано как. Все будит построено на сессиях, но можно и на cookie. Разница в том, что cookie не будут просить каждый раз вести логин и пароль, но сессии мне кажутся более безопасным вариантом.
Предлагаю сказать скрипт гостевой, потому что я буду опираться именно на него.
Сначала следует создать файл, который будит отвечать за проверку логина и пароля.
auth.php
<?php
// Данный файл всегда будит "включаться"
// поэтому надо запретить его самостоятельный вызов
if(!defined("IN_ADMIN")) die;
// Начинаем сессию
session_start();
// Помещаем содержимое файла в массив
$access = array();
$access = file("access.php");
// Разносим значения по переменным
$login = trim($access[1]);
$passw = trim($access[2]);
// Проверям были ли посланы данные
if(!empty($_POST['enter']))
{
$_SESSION['login'] = $_POST['login'];
$_SESSION['passw'] = $_POST['passw'];
}
// Если ввода не было, или они не верны
// просим их ввести
if(empty($_SESSION['login']) or
$login != $_SESSION['login'] or
$passw != $_SESSION['passw'] )
{
$title = "Вход в Панель администратора";
$titlepage = 'Вход';
$helppage = 'Введите логин и пароль';
include "topadmin.php";
//echo $login."-".$_SESSION['login']."<br>".$passw."-".$_SESSION['passw'];
?>
<table><tr><td>
<p class=boxmenu><a class=menu href="index.php">Вернуться в администрирование гостевой книги</a></p>
</td></tr></table>
<center><br><br>
<form action=index.php method=post>
<table>
<tr><td align="right">Логин </td><td>
<input class=input name=login value=""></td></tr>
<tr><td align="right">Пароль </td><td>
<input class=input name=passw value=""></td></tr>
<tr><td> </td><td>
<input type=hidden name=enter value=yes>
<input class=button type=submit value="Вход">
</td></tr></table>
</form>
</center>
<? include "bottomadmin.php";
die;
}
?>
|
И файл access.php. Следует в точности создать данный файл, где логин на второй, а пароль на третьей строчках. Запрещаем доступ посторонним скриптам.
<?php die; ?>
admin
passw
|
Теперь следует создать управляющий файл. Переименуйте файл index.php в main.php в admin директории гостевой книги и создайте новый файл index.php со следующим содержанием.
<?php
// Указываем что данный файл главный
define("IN_ADMIN", TRUE);
// Проверяем права доступа
include "auth.php";
// Получаем параметр op из URL
$op = $_GET['op'];
// Выбираем нужное нам действие
switch ($op)
{
case 'main' : include "main.php"; break;
case 'delp' : include "delpost.php"; break;
case 'editform' : include "editcommentform.php"; break;
case 'edit' : include "editcomment.php"; break;
case 'hide' : include "hide.php"; break;
case 'show' : include "show.php"; break;
default : include "main.php";
}
?>
|
Осталось немного. Теперь надо будит запретить доступ к остальным скриптам, от прямого вызова.
Для этого надо в начало каждого файла (за исключением нового index.php) создать строки следующего содержания.
<?php
if(!defined("IN_ADMIN")) die;
?>
|
Вот собственно и весь принцип. Но гостевая не работает? Все верно, надо поменять еще пару строк, те кто не скачивал скрипт гостевой, могут пропустить следующие шаги.
Файл main.php (бывший ndex.php) - следует поменять ссылки.
строки (около) 35 и 36 заменить на:
<?php
if(!$guest['hide']) $showhide = "<a class='menu' href=index.php?op=hide&id_msg=".$guest['id_msg']."&start=$start title='Скрыть сообщение из списка выводимых на сайте'>Скрыть сообщение</a>";
?>
строки с 63 по 70 заменить на:
[code]
<?php
echo "<p class='menu'><a class='menu' href=index.php?op=editform&id_msg=".$guest['id_msg']."&start=$start title='Редактировать сообщение'>Редактировать</a>";
// Ссылка на правку сообщений
echo " ".$showhide;
// Ссылка на удаление сообщений
echo " <a class='menu' href=index.php?op=delp&id_msg=".$guest['id_msg']."&start=$start title='Удалить сообщение'>Удалить сообщение</a>";
echo "</p>";
?>
|
Фаил editcommentform.php. Надо заменить строку (около) 29 на:
<form action=index.php?op=edit method=post>
|
Все. Вот ваша гостевая с закрытой админ. панелью. Не забудьте изменить файл access.php | |
| |
|
|
| |
|
|
| |
для: Artem S.
(14.12.2004 в 01:46)
| | | В данной статье мы рассмотрим авторизацию посетителей. Ограничить доступ к ресурсам сайта можно несколькими способами, например, средствами Web-сервера Apache, создав файл .htpassw. Такой путь не всегда удобен, так как перенос файлов на другой сервер требует воссоздания .htpassw по новой, кроме того, при таком способе довольно утомительно осуществлять смену пароля. В связи с этим, разработчики часто прибегают к авторизация на PHP, не смотря на то, что такая защита более подвержена взлому.
В данной статье будет рассмотрен принцип подобной авторизации, и она позволит вам организовать что-то подобное на своем сайте. Отталкиваться мы будем от Web-приложения Гостевая книга (на MySQL), которую можно свободно загрузить из раздела downloads (http://www.softtime.ru/info/gbmysql.php). Обычно к панели администрирования (admin/index.php) доступ ограничивается средствами Apache, мы же рассмотрим скрипт, позволяющий ограничить доступ при помощью PHP.
Хранение логина и пароля будет осуществляться в файле, так как это не требует доступа к базе данных и может быть использовано в других Web-приложениях.
Теперь немного об организации защиты. Все действия на странице администрирования предполагается проводить через один файл (index.php), подавляя при этом прямые вызовы других скриптов. В этом же файле будет проверяться и логин с паролем. В основе механизма защиты будут лежать сессии, но в качестве альтернативы можно воспользоваться и cookie. Сессии являются более надёжным вариантом, так как в отличие от cookie хранятся на сервере и вероятность несанкционированного доступа к ним существенно снижена.
Замечание
Весь дальнейший код основывается на коде Гостевой книги, поэтому для удобства её следует загрузить с сайта.
auth.php
<?php
// Данный файл всегда будит "включаться" в другие файлы
// директивой include поэтому следует запретить его самостоятельный вызов
// из строки запроса путём указания его имени
// Если не определена константа IN_ADMIN – завершаем работу скрипта
if(!defined("IN_ADMIN")) die;
// Начинаем сессию
session_start();
// Помещаем содержимое файла в массив
$access = array();
$access = file("access.php");
// Разносим значения по переменным – пропуская первую строку файла - 0
$login = trim($access[1]);
$passw = trim($access[2]);
// Проверям были ли посланы данные
if(!empty($_POST['enter']))
{
$_SESSION['login'] = $_POST['login'];
$_SESSION['passw'] = $_POST['passw'];
}
// Если ввода не было, или они не верны
// просим их ввести
if(empty($_SESSION['login']) or
$login != $_SESSION['login'] or
$passw != $_SESSION['passw'] )
{
?>
<a href="index.php">Вернуться в администрирование гостевой книги</a><br>
<form action=index.php method=post>
Логин <input class=input name=login value=""><br>
Пароль <input class=input name=passw value=""><br>
<input type=hidden name=enter value=yes>
<input class=button type=submit value="Вход">
<?php
die;
}
?>
|
Файл с логином и паролем access.php имеет следующую структуру:
<?php die; ?>
admin
passw
|
Обратите внимание, при обращении к файлу из окна браузера будет работа скрипта будет остановлена в первой строке функцией die(), не позволяя вывести логин (admin) и пароль (passw) в окно браузера.
Теперь следует создать управляющий файл, через который мы будем получать доступ ко всем остальным файлом системы администрирования. Переименуйте файл index.php в main.php в директории admin гостевой книги и создайте новый файл index.php со следующим содержанием.
<?php
// Указываем что данный файл главный,
// определяя константу IN_ADMIN, так как
// нигде больше эта константа не определяется,
// но везде проверяется её существование, работать
// с панелью администрирования можно только
// через файл index.php
define("IN_ADMIN", TRUE);
// Проверяем права доступа
include "auth.php";
// Получаем параметр op из URL
$op = $_GET['op'];
// Выбираем нужное нам действие
switch ($op)
{
case 'main' : include "main.php"; break;
case 'delp' : include "delpost.php"; break;
case 'editform' : include "editcommentform.php"; break;
case 'edit' : include "editcomment.php"; break;
case 'hide' : include "hide.php"; break;
case 'show' : include "show.php"; break;
default : include "main.php";
}
?>
|
Осталось немного. Теперь следует запретить доступ к остальным скриптам, от прямого вызова. Для этого необходимо в начало каждого файла (за исключением нового index.php) осуществить проверку константы IN_ADMIN.
<?php
if(!defined("IN_ADMIN")) die;
?>
|
Вот собственно и весь принцип. Но гостевая не работает? Все верно, следует поменять еще пару строк, а именно, все ссылки заменить на вызов файла index.php, передав ему соответствующий параметр op. Tе кто не скачивал скрипт гостевой, могут пропустить следующие шаги. Файл main.php (бывший index.php) - следует поменять ссылки в строках (около) 35 и 36 на:
<?php
if(!$guest['hide']) $showhide = "<a class='menu' href=index.php?op=hide&id_msg=".$guest['id_msg']."&start=$start title='Скрыть сообщение из списка выводимых на сайте'>Скрыть сообщение</a>";
?>
|
а строки с 63 по 70 заменить на:
<?php
echo "<p class='menu'><a class='menu' href=index.php?op=editform&id_msg=".$guest['id_msg']."&start=$start title='Редактировать сообщение'>Редактировать</a>";
// Ссылка на правку сообщений
echo " ".$showhide;
// Ссылка на удаление сообщений
echo " <a class='menu' href=index.php?op=delp&id_msg=".$guest['id_msg']."&start=$start title='Удалить сообщение'>Удалить сообщение</a>";
echo "</p>";
?>
|
Файл editcommentform.php. Следует заменить строку (около) 29 на:
<form action=index.php?op=edit method=post>
|
Все. Гостевая с закрытой панелью администрирования готова. Не забудьте изменить файл access.php, выставив в нём логин и пароль помудрее :)
PS Классная статья, мне очень понравилась.
PPS Если вам понравилось писать, будем по-немного вам передавать писательский опыт :))) : избегайте слова "надо" - это приказ и это плохо ложится на читательское ухо, лучше вместо него употреблять слово "следует", когда что-то советуется или "необходимо", когда это действительно надо :)))
PPPS Можно добавить необратимое шифрование, например, по md5, на тот случай если до паролей злоумышленнику всё же удастаться добраться, но это сами смотрите... в принципе можно и в замечании об этом упомянуть - кому понадобится, сами сделают. | |
| |
|
|
| |
|
|
| |
для: cheops
(14.12.2004 в 02:44)
| | | >> PS Классная статья, мне очень понравилась.
Спасибо за отзыв и за советы. Ведь я пишу по большому счету пишу для себя : )
Про md5 я бы лучше упомянул, и не стал бы указывает в статье. Чтобы получить результат от md5 надо сперва создать скрипт, который выводит результат, а потом это копировать в access.php. Достаточно муторно.
Еще я забыл упомянуть в статье что при использовании базы, возможности возрастают, и возможно создать не одного управляющего, а не сколько - с различными правами.
То есть заключительными стоками будит следующее.
Все. Гостевая с закрытой панелью администрирования готова. Не забудьте изменить файл access.php, выставив в нём логин и пароль помудрее :)
Конечно подобная система не может претендовать на серьезную защиту, но на первое время этого хватить, и позднее вы сами сможете ее улучшить.
При использовании базы данных, возможности подобной авторизации можно легко расширить, создав не одного управляющего, а несколько - с различными правами.
Если предложений больше не будит, можно отдавать на последнюю редакцию. | |
| |
|
|
| |
|
|
| |
для: Artem S.
(14.12.2004 в 13:30)
| | | >Если предложений больше не будит, можно отдавать на
>последнюю редакцию.
Взял. | |
| |
|
|
| |
|
|
| |
для: Кузнецов М.В.
(14.12.2004 в 20:39)
| | | Править ещё будешь? Или взял выкладывать? | |
| |
|
|
| |
|
|
| |
для: cheops
(14.12.2004 в 20:50)
| | | Взял посмотреть и поправить.
-------------
Выложу. | |
| |
|
|
| |
|
|
| |
для: Кузнецов М.В.
(15.12.2004 в 00:31)
| | | Дождёшься тебя :))) правь выложенный вариант, без локальной версии WinWord Дизайнера сто лет провыкладываешь :))).
http://www.softtime.ru/info/articlephp.php?id_article=34 | |
| |
|
|
|
