Zabezpieczenie strony hasłem Opcje

[wolfen3]

[PHP] pobierz, plaintext 
<form action="page.php" method="post">
<p>Podaj hasło<br><br>
<input type="pass" NAME="haslo" />
<input type="submit" VALUE="OK">
</form>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
 
function checkPass()
{
  $haslo = $_POST["haslo"];
  if($haslo <> "MOJE SUPER TAJNE HASLO"){
    return false;
  }
  else{
    return true;
  }
}
 
if(isSet($_POST["haslo"]) && checkPass())
{
 
    include ('costam.php');
}
 
  else
  {
 
     //echo 'Nieprawidłowe hasło <a href="index.php">Spróbuj ponownie</a>';
	 include 'bad.php';
  }
 
?>
[PHP] pobierz, plaintext 

Witam !

Czy jest jakakolwiek możliwość aby obejść taki skrypt hasła ?

Ten post edytował wolfen3 5.10.2009, 18:43:57

[Dumdas]

Nazwę pliku może generować skrypt (tak samo, jak hasło) lecąc po kolei po wszystkich literach i cyfrach. Problem jest tlyko taki, że im więcej liter ma hasło(i nazwa pliku), tym dłużej trzeba, by je odgadnąć. Nie do złamania (z powodu czasu) są w ten sposób hasła 15 znakowe i większe (dla 15 znakowego hasła z samych liter małych i cyfr jest 1555098314991537910888601 kombinacji).
Ale wracając do zabezpieczenia:
1. Sprawdzaj za każdym razem hasło zapisane w sesji (jeżeli nie rozumiesz, to ułatwię: na początku każdego pliku dajesz session_start(); i potem $_SESSION['haslo'] = $_POST['haslo'](IMG:style_emoticons/default/winksmiley.jpg) .
2. Sprawdzaj IP wchodzącego przy każdym odwiedzeniu pliku (czyli ktoś wchodzi. Nie ma jeszcze zapisanego w sesji IP - zapisuj. Jest już zapisane - porównaj ze starym). Jeżeli IP się zmieni - exit();
3. Ustaw w pliku z formularzem logowania sesje $_SESSION['form'] = true; i sprawdzaj w panelu, czy $_SESSION['form'] == true; Jeżeli nie - exit();

Możliwości jest naprawdę wiele, tylko chwilę trzeba pomyśleć.
To, co pisałem teraz, to było z palca wymyślane, żebyście się nie czepiali szczegółów (IMG:style_emoticons/default/winksmiley.jpg)