[php] skrypt do logowanie jak na prv.pl Opcje

[lukaszkowalewski]

Witam serdecznie:) Mam pewnien problem, a mianowicie potrzebuje skrypt do logowanie taki jak "prv.pl". Jeśli moze ktoś mi udzielić informacji skąd mogę ściągnąc taki skrypcik, jak również dodać użytkownika, to będe bardzo wdzięczny:) pozdrowionka:)

[Napoleon]

A zglądałeś tutaj: http://www.hotscripts.com/php/Scripts_and_...rams/index.html

Największy zbiór skryptów napewno coś znajdziesz a jak nie to może za parę złotych ógłbym napisać (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Pozdrawiam
Napoleon (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[tomoos]

znalazlem coś takiego, może się przyda (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[php:1:5f1f30ad54]
<?php

// jezli używamy IIS, trzeba ustawić zmienne $PHP_AUTH_USER i $PHP_AUTH_PW
if (substr($SERVER_SOFTWARE, 0, 9) == 'Microsoft' &&
!isset($PHP_AUTH_USER) &&
!isset($PHP_AUTH_PW) &&
substr($HTTP_AUTHORIZATION, 0, 6) == 'Basic '
)
{
list($PHP_AUTH_USER, $PHP_AUTH_PW) =
explode(':', base64_decode(substr($HTTP_AUTHORIZATION, 6)));
}

// to wyrażenie warunkowe można zastšpić np. zapytaniem do bazy danych
if ($PHP_AUTH_USER != 'uzytkownik' || $PHP_AUTH_PW != 'haslo')
{
// użytkownik nie podał żadnych danych albo
// podany identyfikator lub hasło sa nieprawidłowe

header('WWW-Authenticate: Basic realm="Nazwa zasobu"');
if (substr($SERVER_SOFTWARE, 0, 9) == 'Microsoft')
header('Status: 401 Unauthorized');
else
header('HTTP/1.0 401 Unauthorized');

echo '<h1>Odejdz stad!</h1>';
echo 'Nie jestes uprawniony do przegladania tych zasobów.';
}
else
{
// użytkownik podał prawidłowe dane
echo '<h1>Oto ona!</h1>';
echo '<p>Na pewno jestes szczęsliwy, że możesz zobaczyć tę stronę.';
}
?>[/php:1:5f1f30ad54]

[adisoft]

Mogles mu od razu to wyslac lepiej by skumal mi sie wydaje:
[php:1:399ccc1d72]
<?php

if (!isset($_SERVER['PHP_AUTH_USER']))
{
header('WWW-Authenticate: Basic realm="ADISoft Autoryzacja ;"');
header('HTTP/1.0 401 Unauthorized');
exit;
}
else if (isset($_SERVER['PHP_AUTH_USER']))
{
$plik = "tTc7my3yc7oO6yAaJ4uc.txt";
$fp = fopen($plik, "r");
$WszystkieHasla = fread($fp, filesize($plik));
fclose($fp);

$LoginHaslo = explode("|", $WszystkieHasla);
$i = 0;
while($i <= sizeof($LoginHaslo))
{
$dane = explode(":", $LoginHaslo[$i]);
$uzytkownik=strval($_SERVER['PHP_AUTH_USER']);
$haslo=strval($_SERVER['PHP_AUTH_PW']);
if (($dane[0] == $uzytkownik) && ($dane[1] == $haslo))
{
$auth = true;
break;
}
else { $auth = false; }

$i++;
}

if ($auth == true)
{
header("Location: dostep.php");
exit;
}
else
{
header('WWW-Authenticate: Basic realm="ADISoft Autoryzacja"');
header('HTTP/1.0 401 Unauthorized');
echo 'Brak dostępu ;adisoft';
exit;
}
}
?>
[/php:1:399ccc1d72]

a w piku tTc7my3yc7oO6yAaJ4uc.txt masz swoje hasla w formie
mojlogin:mojehaslo|

[[fisher]]

Mogles mu od razu to wyslac lepiej by skumal mi sie wydaje:
[php:1:c88c5f1070]
<?php
$plik = "tTc7my3yc7oO6yAaJ4uc.txt";
?>
[/php:1:c88c5f1070]

a w piku tTc7my3yc7oO6yAaJ4uc.txt masz swoje hasla w formie
mojlogin:mojehaslo|

zamiast takich sztuczek z trudna do zgadniecia nazwa pliku, proponuje uzyc skladowanie hasel zakodowanych w md5, np

[php:1:c88c5f1070]<?php
$zakodowane_haslo = md5('haslo');
?>[/php:1:c88c5f1070]

dodatkowo taki plik mozna umiescic poza drzewem zasiegu serwera WWW

a pozniej
[php:1:c88c5f1070]<?php
if( !(md5($_POST['haslo_od_uzytkownika']) == $zakodowane_haslo)) //zle haslo
exit;
?>[/php:1:c88c5f1070]

w rezultacie nawet gdy ktos podpatrzy nam ten plik wcale nie bedzie mial latwej drogi (innej niz bruteforce) do poznania hasel

[lukaszkowalewski]

oki:) dzięki za skrypty. Tylko powiedzcie mi jak z tymi hasłami i użytkownikami?? jeśli wpisze np login: admin a hasło: cośtam, to czy hasło sie zaszyfruje samo?? sorry jeśli gadam głupio, ale się na tym jeszcze tak dokładnie nie znam, i narazie sie uczę. więc wybaczcie i nie śmiejcie sie:) proszę o odpowiedzi:)

[[fisher]]

oki:) dzięki za skrypty. Tylko powiedzcie mi jak z tymi hasłami i użytkownikami?? jeśli wpisze np login: admin a hasło: cośtam, to czy hasło sie zaszyfruje samo?? sorry jeśli gadam głupio, ale się na tym jeszcze tak dokładnie nie znam, i narazie sie uczę. więc wybaczcie i nie śmiejcie sie:) proszę o odpowiedzi:)

zasada jest prosta a przez to skuteczna
1. najpierw kodujesz haslo funkcja md5() i zapisujesz do pliku
2. przy logowaniu nie rozkodowujesz hasla (nie da sie rozkodowac md5) zapisanego w pliku, a jedynie kodujesz ta sama funkcja haszujaca haslo ktore podal user
3. porownujesz 'krzaczki': rezultat dzialania punktu 1 i rezultat dzialania punktu 2
4. jesli powyzsze 'krzaczki' beda dokladnie takie same tzn ze uzytkownik podal dobre haslo

poszukaj na forum gdy nie do konca to zrozumiesz, bylo tego juz sporo

[lukaszkowalewski]

fisher a możesz podesłać mi na pw jak mam to zrobić, by zakodować to hasło i wogóle co z tym zrobić?? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[novaxon]

Nie prościej utworzyć plik .htaccess czy jakoś tak i wtedy masz zabezpieczone konto... (szczegóły www.krasnal.tk), tak wogóle to masz ile chcesz kont, a jak umiesz skonfigurować to nawet można podpiąć pod nuke albo bb. U mnie to działa

[[fisher]]

Nie prościej utworzyć plik .htaccess czy jakoś tak i wtedy masz zabezpieczone konto... (szczegóły www.krasnal.tk), tak wogóle to masz ile chcesz kont, a jak umiesz skonfigurować to nawet można podpiąć pod nuke albo bb. U mnie to działa

kontrolowanie dostepu do plikow tak, kontrolowanie dostepu do zasobow niekoniecznie
poza tym obsluge .htaccess administrator serwera moze po prostu wylaczyc

[Evenement]

W jaki sposób wylogować się z tak zalogowanego uzytkownika? Czy takie logowanie jest bezpieczniejsze od logowania z formularza? Czy istenieją jeszcze jakieś dodatkowe parametry do tego logowania?

[[fisher]]

W jaki sposób wylogować się z tak zalogowanego uzytkownika? Czy takie logowanie jest bezpieczniejsze od logowania z formularza?

Po takim zalogowaniu username jest przechowywany w zmiennej $_SERVER['PHP_AUTH_USER'], a password w $_SERVER['PHP_AUTH_PW']

Zeby sie wylogowac wystarczyloby zamazanie lub skasowanie tych zmiennych

Czy jest bezpieczniejsze ? Nie mam na ten temat zdania, wg mnie nie ma roznicy.

Jesli bedziesz "jechal" po SSLu to na pewno bedzie bezpieczne

Czy istenieją jeszcze jakieś dodatkowe parametry do tego logowania?

Poczytaj sobie tutaj

[Evenement]

Gdzie moge znalezc jakies informacje o SSLu?

[[fisher]]

Gdzie moge znalezc jakies informacje o SSLu?

Podstawowe informacje o SSL
Implementacja (mod_ssl - Apache)

Mam nadzieje ze o to Ci chodzilo

[bronx]

użyłem skryptu, który podał Adisift, ale nawet jak podam poprawny login i hasło wyświetla mi że jest złe (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

Wiecie może dlaczego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)