[php] Zabezpieczanie panelu admina Opcje

[krzysiek_raven]

Witam. Jestem nowy na tym forum. Niedawno zacząłem uczyć sie php i im głębiej w to wchodze tym większe problemy napotykam:P
Zrobiłem prosty system artykułów i komentarzy do nich i panel do zarządznia tym systemem. Panel znajduje sie w oddzielnym folderze i składa sie z kilku plików .php. Chciałbym zabezpieczyć jakoś pliki w tym folderze albo najlepiej cały folder wraz z zawartością. Znalazłem już kilka rozwiązań np. coś takiego jak tu http://www.webdiary.pl/technologie+art.id+217.htm ale mój panel składa sie z kilku plików i zabezpieczanie każdego pliku z osobna oznaczało by, przy przejściu na podstrone, konieczność ponownego podania hasła:/ Oznacza to że trzeba tak zrobić panel aby wszystko zawierało się np. w stronie index.php? Czy może da rade jakoś zabezpieczyć cały folder z zawartością?
Link do stronki: http://www.testyphpsql.yoyo.pl/index.php
Link do panelu: http://www.testyphpsql.yoyo.pl/admin_panel/

[kossa]

Na sam początek zacznij od logowania opartego na sesjach - session" title="Zobacz w manualu PHP" target="_manual. W każdym pliku sprawdzaj czy wartość sesji jest OK, jeśli tak to wyświetlaj plik, jeśli nie to zrób przekierowanie na stronę logowania.

Łukasz

[krzysiek_raven]

Ok, dzieki. Spróbuje wykombinować coś z tymi sesjami. A może da rade iść na łatwiznę i jakoś dać hasło na cały folder?(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[TomASS]

Hasło na cały katalog to przy pomocy pliku .htaccess.

Zrób tak jak kolega kossa radzi - sesje, proste jak .... strzyżenie psa (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Nie należy jednak zapomnieć o bezpieczeństwu sessji

[krzysiek_raven]

Poczytałem troche już o sesjach i chodzi w tym mniej więcej o to że: pierwszą strone zabezpieczam hasłem i po poprawnym wpisaniu hasła otwieram sesje i tworze identyfikator, tak? A na pozostałych stronach sprawdzam czy sesja jest rozpoczęta i czy identyfikator jest prwidłowy, jeśli jest to można sie poruszac po stronach, a jeśli nie to daje linka do strony głównej z hasłem. A dla bezpieczeństwa ten identyfikator przekazuje sie w cookie (o którym też jeszcze nic nie wiem:P), czy o to w tym chodzi?

[mike]

Tak.
Teraz musisz to ogarnąć w praktyce (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[krzysiek_raven]

Czy takie coś powinno wystarczyć, aby przeciętnemu użytkownikowi nie udało sie nic namieszać w panelu administracjnym?

plik login.php

[PHP] pobierz, plaintext 
<?php
 
// ---- LOGIN i HASŁO ----
$login = "admin";
$haslo = "f39bfe1e6901e9cc87ca44e435f5671b";
// -----------------------
 
function formularz()
{
		 echo '<FORM ACTION="login.php" METHOD="post">
					 Wpisz login i hasło<br />
					 Login: <INPUT TYPE="tekst" NAME="log"><br />
					 Hasło: <INPUT TYPE="tekst" NAME="has"><br />
					 <input type="submit" value="zaloguj">
			  </FORM>';
}
function sprawdz($l, $h, $login, $haslo)
{
		 if ($l == $login && md5($h) == $haslo){
			return TRUE;
		 }
		 else return FALSE;
}
 
 
// -- MAIN --
 
$l = $_POST['log'];
$h = $_POST['has'];
 
if (sprawdz($l, $h, $login, $haslo)){
 
   // -- obsługa sesji --
   session_start();
   
   if (!isset($_SESSION['id'])){
	  session_regenerate_id();
	  $_SESSION['id'] = $login;
	  header("Location: index.php" . SID);
   }
   
}
else if ($l == TRUE || $h == TRUE){
	 echo('Dane niepoprawne - spróbuj jeszcze raz<br>');
	 formularz();
}
else formularz();
 
?>
[PHP] pobierz, plaintext 

plik index.php i inne pliki panelu

[PHP] pobierz, plaintext 
<?php
 
	 session_start();
	 if (!isset($_SESSION["id"])){
		header("Location: login.php" . SID);
		exit();
	 }
	 else{
		  echo ('strona główna<br><br>');
		  echo('<a href="logout.php">Wyloguj</a>');
	 }
 
?>
[PHP] pobierz, plaintext 

plik logout.php

[PHP] pobierz, plaintext 
<?php
 
	 session_start();
	 echo "Użytkownik " . $_SESSION["id"];
	 echo " został wylogowany.";
	 session_destroy();
	 
?>
[PHP] pobierz, plaintext 

Nie używałem cookies bo jeszcze dokładnie nie wiem jak.

[marcio]

mam ten sam problem i sesje robie prawie tak samo jak ty ale gdy sie loguje to musze porownac login i haslo wpisane przez user'a z tym co jest w bazie??Bo mi sie zdaje ze tak jesli tak to jak mam je porownac o tak

Kod

$zapytanie = ("select * from shout where login='".$user_login."' and haslo='".sha1($user_pass)."'");
$zrob = mysql_query($zapytanie, $db) or die ('Polaczenie nie powiodlo sie');

if(mysql_num_rows($zrob) > 0) {

     echo ('Zalogowano');
     $_SESSION['user']=$user_login;
}

else {
     echo('Logowanie nie powiodlo sie');
  }
if($_SESSION['user']) {

     mysql_close($db);
     header("Location: user.php");
}

else {

     mysql_close($db);
     header("Location:nieuser.php");
}

to jak mam porownac dane z bazy tymi wpisanymi w formularzu?
cos takiego
if($user_login == $login && $user_pass == sha1($haslo)) {
//tu reszta kodu??
}

Ten post edytował marcio 28.09.2007, 20:53:52

[krzysiek_raven]

Hasło w bazie jest zakodowane? Jeśli tak to po wyciągnięciu go z bazy w zakodowanej postaci można chyba porównać w ten sposób

[PHP] pobierz, plaintext 
<?php
$wynik = mysql_fetch_array($zrob, MYSQL_BOTH);
 
if ($user_login == $wynik['nazwa_kolumny_z_loginem'] && sha1($user_pass) == $wynik['nazwa_kolumny_z_haslem']) {
	 echo 'cos tam';
	 exit;
 }
?>
[PHP] pobierz, plaintext 

Nie wiem czy dobrze zrozumiałem o co biega, ale coś takiego mi sie nasunęło;)

Ten post edytował krzysiek_raven 28.09.2007, 21:41:30

[marcio]

zrobilem identycznie tylko ze najpierw podalem zmienna z bazy a potem porownalem z ta z forma czyli zrobilem na odwrot ale chyba tez jest dobrze

Kod

<?php if($zrob) {

while($dane = mysql_fetch_assoc($zrob)) {

  if($zrob['login'] == $user_login && $zrob['haslo'] == sha1($user_pass)) {

     echo ('Zalogowano');
     $_SESSION['user'] = $user_login;
     $_SESSION['pass'] = $user_pass;
   }
}
}
?>

Ten post edytował marcio 28.09.2007, 21:58:24

[Grabarz]

<?php if($zrob) {

while($dane = mysql_fetch_assoc($zrob)) {

if($zrob['login'] == $user_login && $zrob['haslo'] == sha1($user_pass)) {

echo ('Zalogowano');
$_SESSION['user'] = $user_login;
$_SESSION['pass'] = $user_pass;
}
}
}
?>

coś pokręciłeś. jeżeli już to

while($dane = mysql_fetch_assoc($zrob)) {

if($dane['login'] == $user_login && $dane['haslo'] == sha1($user_pass)) {

echo ('Zalogowano');
$_SESSION['user'] = $user_login;
$_SESSION['pass'] = $user_pass;
}


I ja mam taką cichą nadzieję, że jak podajecie w zapytaniu SQL'a " WHER `login` = '$login_z_formularza' "
to linijke wcześniej stoi $login_z_formularza = addslashes($login_z_formularza);
Inaczej mozesz sobie pisac kod PHP, na sesjach z hashowanie w SHA1, a i tak SQL-injection da sie zrobić...

[krzysiek_raven]

Mam jeszcze jeden problem z tym zabezpieczeniem. Jak wpisuje adres http://www.testyphpsql.yoyo.pl/admin_panel/ to pokazuje mi że strona nie istnieje a do linku zostaje doczepione coś takiego
/login.phpPHPSESSID=f56dd27e5eca9821e0b44a485429380d. Główny plik w tym katalogu to index.php i gdy nie ma sesji to powinien przenieść do login.php i niby przenosi ale z tą końcówką w linku. O co chodzi? Czasami jest wszystko ok, a czasem sie to pojawia.

Ten post edytował krzysiek_raven 29.09.2007, 09:34:54

[tiraeth]

Ale w porządku robi. Przenosi do login.php. Jako dodatkowy parametr dodaje identyfikator sesji, który jest tworzony nawet, gdy użytkownik nie jest zalogowany (sesja uruchamia się przy wywołaniu funkcji session_start).

PHPSESSID jest dodawany do adresu tylko wtedy, gdy przeglądarka ma wyłączone cookies (ang. ciasteczka) lub, gdy konfiguracja php.ini zawiera wyłączone zapisywanie sesji do cookie.

[marcio]

Grabarz dzieki ale pisalem na szybko i bylo pozno wiec mi sie pokrecilo wielkie dzieki (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) a co do addslashes to one i tak nic nie pomoze jak ktos bedzie chcial zrobic sql injection to moze tylko uchrobnic przed sript kiddies ale ktos kto sie na tym zna to to objedzie do tego sie uzywa mysql_escape_real_string (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[Grabarz]

Też prawda:]
Ale ja dodatkowo sprawdzam funkcją ctype_alpha() - czy podany ciąg jest wyłącznie aklfabetyczny. (ew. wyrażeniami regularnymi - czy są TYLKO cyfry i litery - bez spacji, i innych znaków w loginie)

A co do problemu:

Jak user nie jest zalogowany to go przenosi do login.php
I przy okazji dokleja identyfikator SID:

<?php
session_start();
if (!isset($_SESSION["id"])){
header("Location: login.php" . SID);
exit();
} else {
echo ('strona główna<br><br>');
echo('<a href="logout.php">Wyloguj</a>');
}
?>


Popraw ta linię na header("Location: login.php?" . SID);

I już się nie będzie rypało. Jak wywołujesz plik *php, to parametr jest po "?" więc:
login.php?PHPSID=686868cośtam.

[marcio]

a jaka jest roznica jak ja zrobie bez SID??

[-Gość-]

Utwórz w katalogu z panelem administracyjny plik authpack.php , z taką zawartością:

[PHP] pobierz, plaintext 
<?php
$auth_haslo="jakieś hasło"; // tu hasło
$auth_cookie_nazwa="admin_panel_user_data"; // nazwa cookie
$auth_cookie_wartosc=md5($auth_haslo.date("dmY")); // zawartość cookie
 
if($_COOKIE[$auth_cookie_nazwa] != $auth_cookie_wartosc) { // sprawdza czy cookie jest ustawione
 if(isSet($_POST['haslo'])) {
  if($_POST['haslo']==$auth_haslo) {
   setcookie($auth_cookie_nazwa,$auth_cookie_wartosc); // wysyła cookie
  } else {
   echo"<html>\n<head>\n<meta name=\"robots\" value=\"noindex\">
<title>Nieprawidłowe hasło</title>\n</head>\n<body>\n<center>\nNieprawidłowe hasło<br>
[<a href=\"".basename($_SERVER['PHP_SELF'])."\">Spróbój ponownie</a>]\n</center>\n</body>\n</html>";
   exit; // blokuje dostęp
  }
 } else {
  echo"<html>\n<head>\n<meta name=\"robots\" value=\"noindex\">
<title>Podaj hasło</title>\n<body>\n<form method=\"post\">\n<center>
Hasło: <input name=\"haslo\"><input type=\"submit\" value=\"OK\">
</center>\n</form>\n</body>\n</html>";
  exit; // blokuje dostęp
 }
}
?>
[PHP] pobierz, plaintext 

A potem w plikach panelu administracyjnego umieść taki kod:

[PHP] pobierz, plaintext 
<?php
require("authpack.php");
?>
[PHP] pobierz, plaintext 

[jarekjr]

Witam mam podobną rzecz do zrobienia i mam jedno pytanko odnosnie sesji:

Kod

<?php
  session_start();

  echo '<h1>DLA ZOLOGOWANYCH</h1>';

  // sprawdzenie zmiennej sesji

  if(isset($_SESSION['prawid_uzyt']))
  {
    echo '<p>Użytkownik zalogowany jako '.$_SESSION['prawid_uzyt'].'</p>';
    echo '<p>tu wyswietla sie komunikat  dla zarejestrowanych</p>';
  }
  else
  {
    echo '<p>Użytkownik niezalogowany.</p>';
    echo '<p>Tylko zalogowani użytkownicy mogą oglądać tę stronę.</p>';
  }
    

?>

znalzłem gdzies taki skrypt odnosnie sesji uwierzytelniania, logowania itp... ale mam takie bardzo glupie pytanie i pewnie bedziecie mieli niezały ubaw ale trudno (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .
w którym miejscu tego skryptu umieścić poprostu strone?! zeby nie bylo napisu "tu wyswietla sie komunikat dla zarejestrowanych " tylko było widac strone od znacznika <html> do znacznika </html>. Prosze was o odpowiedz i nie smiejcie sie za bardzo (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[tiraeth]

Przed znacznikiem <html> wstaw:

[PHP] pobierz, plaintext 
<?php session_start();
if ( !isset($_SESSION['prawid_uzyt']) ) header("Location: logowanie.php");
?>
[PHP] pobierz, plaintext 

Pod tym wrzuć normalnie stronę. Każdego niezalogowanego przekieruje z automatu do pliku logowanie.php, gdzie możesz np. umieścić formularz logowania.

[jarekjr]

Jeszcze jakby mi ktos wyjasnił o co chodzi z takim warningiem to był bym bardzo dźwieczny (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) :
Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at C:\wamp\www\sesje\tylko_czlonkowie.php:3) in C:\wamp\www\sesje\tylko_czlonkowie.php on line 3