Zabezpieczenie strony wieloma jednorazowymi hasłami Opcje

[Duor]

Witam
Staram się stworzyć zabezpieczenie strony hasłami jednorazowego użytku, które są zapisane w pliku tekstowym.
Na samej górze strony umieściłem skrypt, który nie pozwala wczytać reszty strony dopóki nie podany poprawnego hasła. Jednak opiera on się na funkcji "stristr", więc jeśli moje hasła zapisane w pliku to przykładowo "haslo123" i "haslo1" to wystarczy przecież wpisać np. "has" i już otrzymamy dostęp, ponieważ ten ciąg znaków również występuje.

Próbowałem także wczytać wszystkie hasła z pliku do tablicy, a następnie sprawdzić funkcją in_array() czy podane przez użytkownika hasło jest poprawne (znajduje się w tablicy), ale funkcja wychwytywała tylko ostatnie hasło z pliku, reszta haseł nie działała.

[PHP] pobierz, plaintext 
<?php
	$sprawdz = $_SESSION['haslo'];
	$hasla = file_get_contents('haslo.txt'); //wczytanie haseł z pliku
 
	if(stristr($hasla, $sprawdz) != true){ //jeśli nie podano poprawnego hasła wyświetl formularz wprowadzenia hasła 
		echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php"> //wprowadzenie hasła przez użytkownika
			 <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">	
		');
		exit(); //wczytaj dalszą część strony, jeśli podano poprawne hasło
	}
 
        //nadpisanie pliku z hasłami, ale bez zapisywania hasła właśnie użytego (tak, żeby hasła były jednorazowe)
	$hasla=str_replace($sprawdz, '', $hasla);
	file_put_contents('haslo.txt', $hasla);
?>
[PHP] pobierz, plaintext 

Plik spradz.php:

[PHP] pobierz, plaintext 
    <?php
    session_start();
    $haslo = $_POST["haslo"];
    $_SESSION['haslo'] = $haslo;
    header("Location: index.php");
    ?>
[PHP] pobierz, plaintext 

Mam nadzieję, że można rozwiązać mój problem w miarę prosty sposób
(Zdaję sobie sprawę, że takie zabezpieczenie nie należy do bardzo bezpiecznych, ale na potrzeby nauki mogę sobie na to pozwolić )

Ten post edytował Duor 28.09.2015, 18:29:19

[Wazniak96]

Jak wygląda plik z hasłami? Hasła zapisane po spacji czy w nowych linijkach ?

[Duor]

W nowych linijkach np.
haslo1234
haslo123
haslotest

[Pyton_000]

pewnie używałeś do tego celu file(), a ta wczytując linie do tablicy zostawia znak nowej linii na końcu każdej linijki (poza ostatnią jeśli nie było takoweg), więc musisz dodać odpowiedni parametr (patrz manual)

[Duor]

Mój skrypt oparty na in_array() oraz z wykorzystaniem trim() do usunięcia znaków białych wygląda teraz tak:

[PHP] pobierz, plaintext 
$sprawdz = trim($_SESSION['haslo']); //usuwa znaki białe z hasła podanego przez użytkownika
$hasla = file('haslo.txt'); //wczytuje hasła do tablicy
$ileelementow = count ($hasla); //sprawdzam ile haseł zostało wczytanych
 
while ($i <= $ileelementow) { // usuwam białe znaki ze wszystkich haseł w tablicy
	 $hasla[$i] = trim($hasla[$i]);
	 $i = $i +1;
}	
 
	if (in_array($sprawdz, $hasla) == false) { //jeśli nie podano prawidłowego hasła wyświetl formularz
	        echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php">
			 <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">
		');
		exit();
	}
 
 
// --------------  Przerobiony skrypt usuwania użytego hasła, tym można zająć się później -------------- 
	$ii = 0;
	while ($ii <= $ileelementow) {
		if (stristr($hasla[$ii], $sprawdz) == true)	{
			$hasla[$ii] = "";
		}
		$nowehasla = $nowehasla . $hasla[$ii] . "/n";
		$ii = $ii + 1;
	}
	file_put_contents('haslo.txt', $nowehasla);
[PHP] pobierz, plaintext 

Wydaje mi się, że wszystko wygląda całkiem logicznie, jednak teraz strona ładuje się od razu cała, pomijając formularz hasła - tak jakby warunek

[PHP] pobierz, plaintext 
	if (in_array($sprawdz, $hasla) == false) 
[PHP] pobierz, plaintext 

nie był spełniony, a przecież domyśnie powinien właśnie być, ponieważ nie podaliśmy jeszcze żadnego hasła...

Będę bardzo wdzięczny za jakiekolwiek wskazówki, im dłużej się z tym męczę tym bardziej zależy mi na znalezieniu sposobu

Ten post edytował Duor 29.09.2015, 17:04:52

[kapslokk]

[PHP] pobierz, plaintext 
while ($i <= $ileelementow) { // usuwam białe znaki ze wszystkich haseł w tablicy
	 $hasla[$i] = trim($hasla[$i]);
	 $i = $i +1;
}	
[PHP] pobierz, plaintext 

Przecież Pyton Ci napisał, żebyś użył odpowiedniej flagi do file(), a Ty kombinujesz.

[PHP] pobierz, plaintext 
$hasla = file('haslo.txt', FILE_IGNORE_NEW_LINES); //wczytuje hasła do tablicy
[PHP] pobierz, plaintext 

Poza tym jak używasz zmiennej, to warto ją pierw stworzyć. Mam na myśli $i.

[Duor]

Rzeczywiście wystarczyło poczytać trochę o flagach i wszystko działa, wielkie dzięki za pomoc!

Wklejam gotowy kod, może komuś kiedyś sie przyda

[PHP] pobierz, plaintext 
	$sprawdz = $_SESSION['haslo'];
	$hasla = file('haslo.txt', FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES); // Tego mi było trzeba 
	$ileelementow = count ($hasla);	
 
	if (in_array($sprawdz, $hasla) == false) {
		echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php">
			  <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">
			');
		exit();
		}
 
//zapis pozostałych haseł - bez hasła włąśnie użytego
	$ii = 0;
	while ($ii <= $ileelementow) {
		if (stristr($hasla[$ii], $sprawdz) == true)	{
			$hasla[$ii] = "";
		}
		$nowehasla = $nowehasla . $hasla[$ii] . "\r\n";
		$ii = $ii + 1;
	}
	file_put_contents('haslo.txt', $nowehasla);
[PHP] pobierz, plaintext 

Ten post edytował Duor 29.09.2015, 20:15:19