Проблемы с авторизацией

[Berkut]

Привет всем!Помогите пожалуйста со скриптом авторизации.
foreach(file("passw/parol") as $k)
{
if(substr($k,0,-2)=="$PHP_AUTH_USER $PHP_AUTH_PW")
{
$rez=1;
}
}
if (rez!=1)
{Header("WWW-Authenticate: Basic realm=\\"Закрытая зона\\"");
Header("HTTP/1.0 401 Unauthorized");
exit;
}
?>
Создал файл с паролями(parol) в формате
login1 parol1
login2 parol2
Проблема:вписываю в выскакивающую табличку логин с паролем,а он их не принимает=0 Проверял $k (echo-м) - считывает нормально.Подскажите пожалуйста,в чём загвостка?Заранее очень признателен.
P.S. Windows XP,файл с паролями создавал в Блокноте
P.S.S.Прошу ногами сильно не пинать

[Меняздесьдавнонет]

две совершенно стандартные ошибки.
чтобы отловить первую, сделай логин и проль из одной буквы.
и напиши
echo strlen($k);
думаю, дальше догадаешься сам.

вторая.
обратись к своему скрипту так
file.php?rez=1;

как только их исправишь, я тебе дам готовый правильный код

[Меняздесьдавнонет]

а, вижу, ты обрезаешь.
Только вместо субстра надо использовать trim

Тогда другая ошибка. напиши-ка
echo $PHP_AUTH_USER;

[Berkut]

Насколько я понял,различий между trim и substr(в том виде как я его писал)-нет?Пока пробовал вывести $PHP_AUTH_USER (так и несмог его вывести,но наверно там должно быть пусто,т.к. табличка выскакивает после того,как rez!=0,наверное) пришла мысль о том,что в самом начале скрипта или до него надо вывести заголовок о Авторизации.Я прав?

[Berkut]

Дополнение: а как его вывести?

[Меняздесьдавнонет]

различий между trim и substr(в том виде как я его писал)-нет?

есть. не факт, что отрезать надо именно два символа - а не три или один.
поэтому надо делать трим.

не смог его вывести

естественно.
Не одна хрестоматийная ошибка - так другая :-)

наверно там должно быть пусто,т.к. табличка выскакивает после того,как rez!=0,наверное

Должно быть, но совсем не поэтому.
В этой переменной вообще ничего не должно быть - ни до  выскакивания таблички, ни после.
Тем более, что после "выскакивания" и ввода пароля твой скрипт начинает работу заново, уже с переданным ему паролем.
Вот только лежит он в совсем другой пременной.
$PHP_AUTH_USER - это устаревшее и не работающее написание.
правильно писать
$_SERVER[\'PHP_AUTH_USER\']
и точно так же - вторую, с паролем.

Дополнение: а как его вывести?

А очень просто -

Berkut:
Header("WWW-Authenticate: Basic realm=\\"Закрытая зона\\"");
Header("HTTP/1.0 401 Unauthorized");
exit;

Только тебе этого делать, естественно, не надо, поскольку ты и так уже выводишь.

Вот. как это должно выглядеть:

$file="data.txt"; 
$fp=fopen($file, "r"); 
$auth_file=fread($fp, filesize($file)); 
fclose($fp); 
if (!strstr($auth_file,"\\n".$_SERVER[\'PHP_AUTH_USER\'].":".$_SERVER[\'PHP_AUTH_PW\'])) { 
  header(\'WWW-Authenticate: Basic realm="Realm"\'); 
  header("HTTP/1.0 401 Unauthorized"); 
  echo  "Bad password"; 
  exit; 
}

Никаких циклов, переменных, которые можно подделать - и так далее.

Этот код лучше всего вынести в отдельный файл и поддключать через require в самом начале защищаемых файлов.

файл с паролями ОБЯЗАТЕЛЬНО должен быть недоступен для скачивания через браузер. Либо лежать в каталоге, недоступном пользователю веб-сервера, либо закрыт средстваи сервера, либо еще как-то.
А еще для надежности желательно кодировать в этом файле пароли в md5, и сверять с MD5($_SERVER[\'PHP_AUTH_PW\'])

Вопросы есть? :-)

[Berkut]

Вопросов туча.
Я так понял,в твоём скрипте файл с паролями должен писаться в формате
user:password
2. Скопировал твой скрипт-неработает!такая-же беда,что и до этого-непринимает пароль

[Меняздесьдавнонет]

ну так отлаживай
выводи на экран, смотри глазами.

[Меняздесьдавнонет]

гммм.
я тут малость напортачил
if (!strstr("\\n".$auth_file,"\\n".$_SERVER[\'PHP_AUTH_USER\'].":".$_SERVER[\'PHP_AUTH_PW\'])) {

[AlieN]

if (rez!=1)

Надо бы поменять на

if ($rez!=1)

[Berkut]

RomikChef - твой новый вариант тоже не работает!!!
А AlieN вроде нашёл ошибку!Вот я облажался,тупился в свой сценарий 2 дня и не заметил!Только вот ещё вопрос:пароль то он принимает,при не верном реагирует адекватно,но после ввода пароля не выдаёт пустую страницу!?Ведь после авторизации он должен выдавать всё,что стоит после сценария?
P.S.Спасибо большое всем за внимание к моей проблеме.

[Berkut]

Опечатка:выдаёт именно пустую страницу.

[FreeSpace]

Berkut
А тебя после кода аутентификации ещё что-то есть?
Потому что если ничего нету, после аутентификации оно и будет тебе выводить пустую страницу
А вообще в самом начале напиши
error_reporting(E_ALL);
ini_set(\'display_errors\', 1);

[Berkut]

После скрипта авторизации у меня идёт обычный ХТМЛ.
Включил эти 2 строчки " error_reporting(E_ALL);
ini_set(\'display_errors\', 1); " и вот какой ужас он мне выдаёт:

Warning: Undefined variable: PHP_AUTH_USER in c:\\www\\www1\\index.php on line 6  - 6 раз подряд


Warning: Undefined variable: rez in c:\\www\\www1\\index.php on line 8

Warning: Cannot add header information - headers already sent by (output started at c:\\www\\www1\\index.php:6) in c:\\www\\www1\\index.php on line 9

Warning: Cannot add header information - headers already sent by (output started at c:\\www\\www1\\index.php:6) in c:\\www\\www1\\index.php on line 10

[Berkut]

Очень смущает первая ошибка,ведь без error_reportig авторизовывается нормально - т.е. определяет PHP_AUTH_USER