[php] zabezpieczenie [php], [php] zabezpieczenie [php] Opcje

[-dr4g0n79-]

pisze bardzo prosciutki system newsow, sql i php uzywam do tego celu i mam pytanie jak to zabezpieczyc aby newsy mogli dodawac uzytkownicy, ktorzy podadza wlasciwy login i haslo. moje newsy skladaja sie z plikow takich jak dodawanie (formularz) oraz plik php przetwarzajacy to dodawanie kasowanie (formularz) oraz plik php realizujacy kasowanie dodatkowo sa pliki sluzace do wyswietlania newsow na stronie. Chce do tego stworzyć panel administracyjny i zabezpieczyć go haslem i tu mam 2 pytanka:
1. jak zabezpieczyc (stworzyć monit i zrealizowac to) jeżeli chodzi o panel administracyjny
2. jeżeli zabezpieczę panel administracyjny to i tak po wpisaniu odpowiedniego adresu (do plików realizującyh kasowanie oraz dodawanie newsów) w przegladarce bez zadnego zalogowania bedzie mozliwośc dostępu do formularzy odpowiedzialnych za dodawanie i kasowanie newsow. (jeżeli się mylę to proszę mnie poprawić, ale chyba dobrze rozumuje). Jak to zabezpieczyc?

Proszę o pomoc i dzięki z góry
Pozdr!

[Max Damage]

Nie wiem czy dobrze cię zrozumiałem. Poczytaj sobie o $_SESSION
1. Wystarczy przy logowaniu sprawdzić czy to admin, za pomocą sesji.
2. Sprawdzasz na początku czy istnieje sesja.

[MMX3]

można to w 1 klasie zmieścić bez żadnych plików. Przekazując $_GET'em co konkretnie ma robić.

1. W bazie userów dodaj flagę albo id grupy i po logowaniu sprawdzaj uprawnienia.
2. Dodać jeszcze jednego get'a np. admin.php?go=forcelogin tylko zostawienie takiej luki to duże zło, no chyba że będzie możliwe logowanie tylko przez 1 ip. Prościej było by ciacho dodać żeby zapamiętywał sobie admina albo link bezpośredni z loginem i hasłem w gecie.

Ten post edytował MMX3 25.08.2007, 20:37:25

[bełdzio]

link bezpośredni z loginem i hasłem w gecie.

pytanie było jak się zabezpieczyć czy jak sobie strzelić gola?

....
tak jak pisal Max Damage skorzystaj z sesji