 Autoryzacja z bazą danych... |
  |
| Autoryzacja z bazą danych... |
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 123 Pomógł: 0 Dołączył: 1.12.2003 Skąd: Chełmno Ostrzeżenie: (0%) 
 |
Co myślicie o autoryzacji takiej jak tu: http://forum.php.pl/viewtopic.php?t=12752? Czy użycie do tego baz danych jest bezpieczne? Chodzi mi o zabezpieczenie wten sposób jednej części strony - administracyjnej części, z tym że adminów ma być kilku... do 5
 Trochę zakręcone wiem, ale chcę jakąś pentlą if kierować ich potem do odpowiednich stron, bo jedenadmin zajmuje się jednym, drugi czym innym itd... Czy ten sposób jest odpowiedni? Czy ktoś z was już opierał taką autoryzację na bazach, może z kodowaniem haseł i mógłby mi podpowiedzieć kawałek takiego skrypciku?
|
 |
 
|
|
Post
#2
|
|
 Grupa: Zarząd Postów: 3 503 Pomógł: 28 Dołączył: 17.10.2002 Skąd: Wrocław |
Przeniesione: Skrypty -> php
-------------------- |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 123 Pomógł: 0 Dołączył: 1.12.2003 Skąd: Chełmno Ostrzeżenie: (0%)
|
Może jednak ktoś wie czy opłaca się w tym dłubać, czy lepiej zrobić logowanie oparte na zwykłym formularzu?
Jeszcze jedno małe pytanko... jak to jest z logowaniem na stronach gdzie nie ma kont użytkowników, a jest panel administracyjny? Logowanie jest po prostu pod inną subdomeną? No i jakie zabezpieczenie polecacie do takiej strony? :? |
|
|
|
|
Post
#4
|
|
 Grupa: Zarejestrowani Postów: 445 Pomógł: 0 Dołączył: 21.12.2003 Skąd: Tomaszów Lubelski Ostrzeżenie: (10%) 
|
W takim wypadku formularz do logowania admina zazwyczaj jest umieszczany w nieznanym pliku. Jego link nie powinien być widoczny na stronie. Trzeba pamiętać, że ukrycie pliku z formularzem niczego nie gwarantuje i jak pisałem hasło jest potrzebne.
-------------------- Don't worry, be happy!
Gadu-Gadu: 1687784 Darmowe komponenty na stronę WWW - licznik księga gości shoutbox chat kalendarz data godzina imieniny IP host przeglądarka odwiedzającego ankieta sonda |
|
|
|
|
Post
#5
|
|
|
Grupa: Zarząd Postów: 3 503 Pomógł: 28 Dołączył: 17.10.2002 Skąd: Wrocław |
Zacznijmy od tego, ze każda z podstron sekcji administracyjnej powinna sprawdzać, czy użytkownik jest zalogowany i czy ma odpowiednie uprawnienia.
Jeśli nie, to wyświetla stronę logowania i zapisuje gdzieś (np. w sesji) dokąd logowanie mna wrócić po pobraniu danych od użytkownika. Logowanie powinno byc oparte o login i hasło. Nawet jeśli zakładany jest tylko jeden uzytkownik (myślenie perspektywiczne) To czy wykorzystasz własny formulqarz, czy użyjesz do tego HTTP-Auth to już twój wybór. Nie polecam stosowania .htaccess jeśłinie masz pewności, ze te możłiwosć jest włączona i admin nie ma w planach jej wyłączania. -------------------- |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 123 Pomógł: 0 Dołączył: 1.12.2003 Skąd: Chełmno Ostrzeżenie: (0%)
|
@Scanner dzięki za radę... Co do wyłączenia usługi to nie ma problemu bo korzystam z usług pewnej firmy hostingowej, która ma zarządzanie na zasadzie cpanel'u - tam jest taka właśnie autoryzacja... Tylko co zrobić, żeby przy wywołaniu każdej nowej... następnej strony sprawdzało login i hasło? Chodzi tu o HTTP-Auth
|
|
|
|
|
Post
#7
|
|
|
Grupa: Zarząd Postów: 3 503 Pomógł: 28 Dołączył: 17.10.2002 Skąd: Wrocław |
Sesje.
Jeśli w sesji nie ma znacznika "zalogowany-ok" (lub podobnego) to wywalamy logowanie, ktore po prawidlowej weryfikacji ustawia tenze znacznik A jesli znacznik jest, to wpuszczamy na strone. -------------------- |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 123 Pomógł: 0 Dołączył: 1.12.2003 Skąd: Chełmno Ostrzeżenie: (0%)
|
Hmm używałem sesji do podtrzymywania zalogowanego usera jako zalogowanego... Widzę, że ten HTTP-Auth, czy jak on tam się zwie robi to sam za siebie... Nie rozumiem więc zbytnio tego co do mnie "rozmawiasz"
Skoro sesje zapamiętują usera jak można zrobić jej destrukcję? Czy okażę się zbytnio narzucać, gdybym poprosił kogoś o odrobinę skryptografii z tymi destrukcyjnymi sesjami? Chyba sam nie dam rady z tym... czymś
|
|
|
|
|
|
Aktualny czas: 21.08.2025 - 18:51 |
