Форум PHP

Здравствуйте.

В Вашем форуме не реализована система авторизации пользователя при входе в администраторскую часть форума, проще говоря любой может зайти.
Во первых естесственный вопрос, почему ?
а во вторых как это исправить ?

[поправлено модератором]

>Во первых естесственный вопрос, почему ?
Полноценная авторизация и соответсвенно защита в системе администрирования будет реализована в следующих версиях форума.
На данный момент вход в систему администрирования следует защищать средствами самого сервера.

>а во вторых как это исправить ?
По ссылке статья про защиту с помощью файлов .htaccess и .htpasswd.

http://www.softtime.ru/info/articlephp.php?id_article=27

Для администрации.
Извините, смотрю уже не первый раз народ поднимает вопрос про админку. Может что бы не мучились люди выложить скриптик запороливания ? Есть у меня не плохой, установка минуту занимает, инклудится и все. БД не использует. Может Вы его прям в архив с форумом суните.
В общем если есть желание, то без проблем, скину.

Valeri, кинь мне на мыло если не сложно.

Желание есть :) Выкладывайте.

пожалуйста пользуйтесь.
есть кстати очень хороший скрипт от Димы Бородина
Модуль защиты от флуда PHP-сайтов методом частых вызовов
PHP-файлов, для создания большой нагрузки. Защищает так же
от автоматического выкачивания сайта с одного IP.
Описание
~~~~~~~~
Для подключения этого модуля напишите include("_dima_noflood.php")
в самом начале вашей программы. В случае флуда этот модуль завершит
работу по команде exit. При нормальной работе - только увеличит
счетчики загрузок и никак не отразится на вашем скрипте.

Для настройки программы создайте сколько угодно правил на разное
кол-во секунд. Например, первое правило "не более 11 загрузок за 10
секунд" надо записать как "$nf_flood[10]=>11". Если хочется второе
правило, допустим "не более 200 загрузок за час", то
дополнительно в тот же массив надо дописать "$nf_flood[3600]=>200"
(3600 - это 1 час). Правил может быть любое кол-во (но чем меньше,
тем быстрее работает).

Если по какому либо правилу возникает флуд, т.е. кол-во загрузок
за последние Х секунд превысило N заданных раз, то происходит
следующее:
1. доступ для этого IP-адреса закрывается
2. остальные правила как считали, так и продолжают считать/следить
за допустимой нагрузкой
3. сработавшее на флуд правило запоминает текущее время каждого
обращения, из-за чего при регулярных продолжениях вызовов сайта
этот счетчик не будет никогда сброшен
Сработавшее флуд-правило очистит счетчик запросов, т.е. снимет игнор,
только если в течении Х секунд к сайту не будет ни одного запроса.
Если сработало правило флуда на 5 минут, то пользователь-флудер
должен покинуть ваш сайт минимум на 5 минут. Если этот пользователь
обратится через 4 минуты на сайт, то время окончания игнора повторно
увеличится на 5 минут. Таким образом, это очень продвинута защита от
скачиваний - стоит программе превысить любое из правил флуда,
то повторные попытка что-то скачать только оттянут время снятия
игнора. Дополнительно это приведет к срабатыванию более строгих
правил, например на 60 минут (и придется уже минимум 60 минут
не обращаться к сайту, чтобы игнор был сброшен).

Раз в $nf_cron_run секунд запускается функция поиска старых файлов,
которые устарели не менее, чем на $nf_old_file секунд. По-умолчанию,
поиск производится раз в 20 минут, при котором стираются все файлы,
которые устарели минимум на 2 часа. Внимание! Программа стирает ВСЕ
файлы в своем каталоге ($nf_path), которые не начинаются с ".".
Поэтому, чтобы закрыть каталог от доступа через браузер, положите
туда файл ".htaccess" из 2х строк:
Order Allow,Deny
Deny from all

Кроме проверки на флуд программа не позволит вызвать ни одного
вашего PHP-скрипта параллельно. Т.е. если идет параллельный вызов,
а старый вызов (и процесс с PHP-скриптом) еще не закончился,
то более новый запрос будет отвергнут. Это достигается простым
открытием файла. Файл после открытия не закрывается, из-за чего
остается блокированным на весь период работы вашего скрипта.

Сообщения/ошибки:
- в случае параллельного вызова программа пишет
"Parallel processing disable." и завершает работу
- при достижении флуда программа пишет "Flood detect!" и завершается
- если невозможно открыть файл на запись/чтение, то программа пишет
короткое имя файла (без каталога) и причину, работа не прерывается,
т.е. ваш скрипт получит управление (такие ошибки возможны только
при первоначальной настройке программы)

Когда вы меняете набор флуд правил в $nf_flood, то сразу после этого
стирайте все файла в каталоге $nf_path!

скажу по своему опыту, очень иной раз пригождается.
Могу сбросить для интересующихся.

Прикольно, можно мне его поюзать?
Кстати скрипт в атаче хороший, главное нужный только небольшая его проблема что своё меню он выводит на защищаемую страницу. Ну да ладно исправить не сложно а так в целом полезная штука.

ну уж извините, что под каждого скрипт запароливания не потделал.
нсчет антифлуда, если никто не заинтересуется и сюда не брошу, то вышлю почтой.

Принимается :)
А чё скрипт большой?

да нет в архиве 3.5 кило

Valeri, скрипт авторизации который ты выложил подходит только если в php.ini стоит register_global = On, не мог бы ты переделать его для работы с register_global = Off.

сделаю на выходные

Ага, спасибо, буду ждать.

как и обещал, сделал
правда на скорую руку, но вроде тестанул - работает.
в случай чего пиши.