- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
if($password===$_POST['password'] && $login===$_POST['login'])
{
// устанавливаем login & pass
$_SESSION['login']=$_POST['login'];
$_SESSION['password']=$_POST['password'];
// Перенаправляем в админ панель
Header("Location: config.php");
}
else { ... }
Uchkuma 29.04.2011 19:40 # +5
DoctorHouse 29.04.2011 20:39 # +2
Uchkuma 29.04.2011 21:04 # +2
wwwguru 04.05.2011 09:52 # 0
NemoReturns 21.04.2023 18:11 # 0
Lure Of Chaos 29.04.2011 20:24 # 0
7ion 29.04.2011 21:26 # −1
Дырок нет, нормальный код начинающего.
Ну если только админ-панель в конфиге.
Lure Of Chaos 29.04.2011 21:46 # 0
1. сравнение, причем даже строгое - то есть, логин и пасс мы знаем заранее ))
2. загоняем в сессию внешние данные
3. относительное перенаправление, и без убиения
7ion 29.04.2011 22:15 # −2
2. Но ведь только при условии, что они корректны.
3. Без убиения чего? И все браузеры уже несколько лет без проблем перенаправляют по относительным ссылкам.
Lure Of Chaos 29.04.2011 22:24 # +2
2. сомнительно
3. die(); очень желателен. И редирект желателен по абсолютным адресам
7ion 29.04.2011 22:27 # +1
2. >if($password===$_POST['password'] && $login===$_POST['login'])
Где здесь сомнительно-то?
3. А, да, тут я согласен. die() должен быть.
Lure Of Chaos 29.04.2011 22:31 # −4
2. при изменениях этого может не быть. уж лучше пользоваться $login $password
3. в принципе, может, скрипт ничего не делает существенного дальше, но лучше перестраховаться.
Int 30.04.2011 10:29 # 0
Lure Of Chaos 30.04.2011 11:17 # +3
Int 01.05.2011 23:15 # 0
guest 01.05.2011 23:34 # 0
простейший распознаватель поставь
Int 03.05.2011 15:19 # 0
guest 03.05.2011 20:30 # 0
Int 05.05.2011 10:11 # 0
guest 05.05.2011 11:03 # 0
Int 05.05.2011 23:59 # 0
eth0 06.05.2011 10:31 # 0
istem 03.05.2011 16:54 # 0
bugmenot 03.05.2011 18:17 # 0
7ion 02.05.2011 00:15 # 0
Говнокод мне не доверяет?
guest 02.05.2011 01:43 # 0
7ion 02.05.2011 09:53 # +1
guest 02.05.2011 14:00 # −1
guest 03.05.2011 20:31 # 0
NemoReturns 29.04.2011 23:53 # +2
Lure Of Chaos 30.04.2011 11:18 # 0
rO_ot 30.04.2011 16:12 # +1
Lure Of Chaos 30.04.2011 16:24 # +3
guest 29.04.2011 22:33 # −9
Немо хомячки би бэк?
guest 29.04.2011 22:57 # −5
guest 29.04.2011 23:15 # −11
guest 29.04.2011 23:32 # −12
guest 29.04.2011 23:35 # −5
guest 30.04.2011 11:07 # −3
NemoReturns 21.04.2023 18:11 # 0
Uchkuma 30.04.2011 11:54 # +1
guest 30.04.2011 11:19 # −6
7ion 30.04.2011 11:23 # +2
guest 30.04.2011 11:24 # −4
telnet 30.04.2011 11:29 # +5
http://www.phpfaq.ru/safety
guest 30.04.2011 11:30 # +1
guest 30.04.2011 11:25 # −1
rO_ot 30.04.2011 16:14 # +2
У них есть такая кросс-доменная авторизация с помощью ифрейма и куков, вот там видимо просто удобно гет-ом передать данные на логин, хотя конечно можно и постом, но в том случае не критично, т.к. сама форма авторизации посылает данные постом.
guest 30.04.2011 11:28 # −2
guest 30.04.2011 11:29 # 0
rO_ot 30.04.2011 16:17 # −1
telnet 30.04.2011 16:56 # +3
rO_ot 30.04.2011 19:04 # +2
istem 30.04.2011 19:08 # +2
bugmenot 30.04.2011 20:35 # +1
Lure Of Chaos 30.04.2011 11:31 # −1
предлагаю сделать стандартно:
1. в сессии хранить обьект (или массив) с данными пользователя: логин(лучше в качестве логина использовать емайл), имя, роль или права доступа, плюс любая другая инфа. Пароль хранить в сессии не надо, а пусть будет в базе в виде хеша.
2. при обращении к странице(ам) проверять, есть ли в сессии что-то и что есть.
3. и только при нажатии кнопочки Вход брать данные логин-пароль из пута, выбирать по ним из базы юзера, если такой нашелся. Если нашелся, писать их в сессию, если нет - выдавать сообщение, что такого нет.
4. если юзер залогинен, кнопочка Вход рендерится ка Выход, при нажатии на нее из сессии стирается инфа о юзере
все.
guest 30.04.2011 11:52 # 0
Lure Of Chaos 30.04.2011 12:02 # 0
guest 30.04.2011 15:26 # +2
7ion 01.05.2011 04:07 # +3
bugmenot 01.05.2011 14:14 # +2
guest 01.05.2011 14:22 # +2
Lure Of Chaos 01.05.2011 16:09 # +3
bugmenot 01.05.2011 16:34 # +5
guest 03.05.2011 20:32 # 0
guest 03.05.2011 20:43 # 0
вот ты, ваще бля пиздец, мазохист
bugmenot 03.05.2011 20:43 # 0
guest 03.05.2011 21:49 # 0
Uchkuma 05.05.2011 10:58 # 0
bugmenot 06.05.2011 11:04 # 0
Uchkuma 06.05.2011 11:25 # 0
bugmenot 06.05.2011 12:16 # 0