как лучше сделать,куда класть где и как прятать ) нужна ли она в папке с сайтом? может быть сделать у себя на компе просто) если делать в папке с сайтом то как ее правильно прятать и чем паролить, у кого как сделано? попутно вопрос, у меня на сайт заливаются картинки, они загружаются во временный каталог, потом ужимаются, переименовываются и переносятся уже на постоянное место жительства , нужно ли ставить какой нибудь антивирус(линукс)?надо ли отключить exec как это сделано на хостингах? нужно ли еше что то отключить? с нулем байт не смог себе ничего залить, хотя может быть не правильно делал или интерпретатор починили ^^ какие права по уму выставлять на папки с сайтом? все данные от пользователя которые идут в запросы обрабатываются, режутся или приводятся к инту, нотисов нету вроде бы ни при каких условиях, этого достаточно?
Суй куда хочешь, прятать не надо, пароль пользователя держи в куках в виде хэша, но можно и к сессии привязать. Антивирус не нужен. Картинки есть картинки. Переименуй файл в .jpg - для браузера он будет картинкой. Главное - излишни не писай.
PHP: <? if(isset($_COOKIE['pass']) && md5($_COOKIE['pass'])==''){ } т.е. вот такой конструкции хватить должно ?
всмысле проверка куков) типа с мд5 напутал для кук PHP: <? if(isset($_COOKIE['pass']) && $_COOKIE['pass']=='тут хэш пароля'){ //тут админка }else { //тут форма для входа } или как оО
Насколько я понял идею lexa Ты у себя в куках хранишь хэш пароля. А когда авторизируешься, то сверяешь хэш введенного пароля с хэшем из куки.
У меня авторизация одновременно может быть только с одного IP. Насчет механизма сессий тоже есть кое-какие решения у меня, используются совместно с учетом активных администраторов.
Apple прикольно, мм а может быть сделать c чтобы только айпи сервера можно было заходить, он у меня один с ним...
Если авторизация производится с локального адреса, то тогда это имеет смысл, иначе - нет. Например, когда админка работает только для адреса 127.0.0.1 или 192.168.1.х, то можно. Иначе смысла я не вижув авторизации ТОЛЬКО по IP.
У меня вообще в куке "сидит" случайный хеш (не пароля), и то только если юзер сам захотел сделать автовход. В таблице юзеров есть дополнительное поле для него. Так что даже если кто получит куку с этим хешем и подберет прогой ту случайную строку с мд5 - то всеравно не будет знать сам пароль.
Нафиг хэш пароля в куки. Хэш в сессию, в куки - SID, в сессии еще REMOTE_ADDR, USER_AGENT и всякие другие HTTP-заголовки. Чтобы вдруг никто не подменил SID.
[vs], ок. твоя логика: я привяжу пользователя к IP. Стоп. Один IP может быть у кучи пользователей. Ну, тогда я сделаю проверку по браузеру. Строку браузера можно подделать. Но идентификатор сессии как можно узнать? Получив куку. Это почти невозможно. Так зачем платить больше?
lexa, к IP мы привяжем не пользователя а конкретную сессию. Если пароль хранится в куки - взломщику достаточно украсть куку, если в куках SID - то надо им воспользоваться, пока сессия жива. Если при этом осуществляется проверка каких-то левых данных, и в случае неудачи сессия убивается, то шансов у взломщика почти нет
Если бы у бабушки был хрен, она была бы дедушкой. Куку никто не украдёт. Ты всё слишком сильно усложняешь. В том числе жизнь пользователю: каждый раз после дисконекта логиниться тот ещё геморрой. Оки, консенсус: пихать id сессии в куку и всё.
[vs] ну, у меня js код на сайт никуда не внедришь, это надо ловить меня, при этом знать что я админю такое то место,дать мне ссылку, потом как то добиться чтобы я по ней перешел ...
Padaboo Ну, это обычно так. Есть же еще менее популярные способы, вплоть до троянов. lexa то прав я просто привык сразу делать "железно" =)
На самом деле нужно сделать всего несколько, которые гарантируют что даже если куку утащат, то фиг они её смогут заюзать. Им придётся прикинутся вами вплоть до IP. 1. Использовать HTTPOnly cookies. 2. В Cookie хранить SID cессии, естественно он генерируется каждый раз новый. При logout сбрасывается и генерируется новый. 3. Добавить проверку на ip. Т.к. у меня сессии в memcache, то memcache ключ у меня генерируется так: md5( SID + user ip + user agent). Соотвественно даже если куку сопрут каким-то образом, заюзать её не смогут, т.к. ip сменится. Т.е. сессия привязана к IP.
жесть >< а можно просто тупо через .htaccess открыть доступ только локальному 192.168.0.* ?это реально будет обойти?
Блин. Народ, вы все упали одновременно? Важна в первую очередь цель. Вероятнее всего, Padaboo делает исключительно для себя. Поэтому все эти ваши советы по привязке к IP идут лесом, а я - д'Артаньян. Padaboo, не всегда IP выдают на человека, порой один IP у целого дома или района. А подсеть - тем более. Сидит сосед твой, режется в ферму. Ты ему ссылку прислал, а не выспался и скопировал из адресной строки УРЛ админки. И нафига теперь ферма соседу? Кстати, иногда в remote_addr пихают IP сервера. Суй пароль в куку, не мучай помидоры там, где оно не надо.