|
|
|||||||||||||||||||||||||||||
|
Авторизация на PHPИсточник: softtime softtime
В данной статье мы рассмотрим авторизацию посетителей. Ограничить доступ к ресурсам сайта можно несколькими способами, например, средствами Web-сервера Apache, создав файл .htpassw. Такой путь не всегда удобен, так как перенос файлов на другой сервер требует воссоздания .htpassw по новой, кроме того, при таком способе довольно утомительно осуществлять смену пароля. В связи с этим, разработчики часто прибегают к авторизация на PHP, не смотря на то, что такая защита более подвержена взлому.
В данной статье будет рассмотрен принцип подобной авторизации, и она позволит вам организовать что-то подобное на своем сайте. Отталкиваться мы будем от Web-приложения Гостевая книга (на MySQL)... Обычно к панели администрирования (admin/index.php) доступ ограничивается средствами Apache, мы же рассмотрим скрипт, позволяющий ограничить доступ при помощью PHP.
Теперь немного об организации защиты. Все действия на странице администрирования предполагается проводить через один файл (index.php), подавляя при этом прямые вызовы других скриптов. В этом же файле будет проверяться и логин с паролем. В основе механизма защиты будут лежать сессии, но в качестве альтернативы можно воспользоваться и cookie. Сессии являются более надёжным вариантом, так как в отличие от cookie хранятся на сервере и вероятность несанкционированного доступа к ним существенно снижена.
Замечание
Весь дальнейший код основывается на коде Гостевой книги, поэтому для удобства её следует загрузить с сайта.
auth.php
// Данный файл всегда будит "включаться" в другие файлы // Начинаем сессию // Если ввода не было, или они не верны {
Файл с логином и паролем access.php имеет следующую структуру:
Замечание
Для осуществления более надёжной защиты пароль и логин можно подвергнуть необратимому шифрованию при помощи функции md5()
Обратите внимание, при обращении к файлу из окна браузера работа скрипта будет остановлена в первой строке функцией die(), не позволяя вывести логин (admin) и пароль (passw) в окно браузера.
Теперь следует создать управляющий файл, через который мы будем получать доступ ко всем остальным файлом системы администрирования. Переименуйте файл index.php в main.php в директории admin гостевой книги и создайте новый файл index.php со следующим содержанием.
// Указываем что данный файл главный, // Проверяем права доступа // Получаем параметр op из URL // Выбираем нужное нам действие
Осталось немного. Теперь следует запретить доступ к остальным скриптам, от прямого вызова. Для этого необходимо в начало каждого файла (за исключением нового index.php) осуществить проверку константы IN_ADMIN.
Вот собственно и весь принцип. Но гостевая не работает? Все верно, следует поменять еще пару строк, а именно, все ссылки заменить на вызов файла index.php, передав ему соответствующий параметр op. Tе кто не скачивал скрипт гостевой, могут пропустить следующие шаги. Файл main.php (бывший index.php) - следует поменять ссылки в строках (около) 35 и 36 на:
а строки с 63 по 70 заменить на:
Файл editcommentform.php. Следует заменить строку (около) 29 на:
Все. Гостевая с закрытой панелью администрирования готова. Не забудьте изменить файл access.php, выставив в нём логин и пароль помудрее :) Конечно подобная система не может претендовать на серьезную защиту, но на первое время этого должно хватить, и позднее вы сами сможете ее улучшить. При использовании базы данных, возможности подобной авторизации можно легко расширить, создав несколько логинов для, если администрированием занимается более чем один человек. Ссылки по теме
|
|