Авторизация

[Rodent]

Доброе время суток.

Мне хотелось бы спросить совета и узнать насколько правильна моя система авторизации (плюсы и минусы). А если есть возможность объяснить в чем моя ошибка или как улучшить.

Итак структура:

файл admin.php

$users["demo"]=md5("demo");

global $userName, $userPass;
session_start();

$userName=trim($_POST["user"]);
$userPass=trim($_POST["pass"]);
$userEnter=$_POST["submit"];

if ($userEnter=="Войти"):
   if ($userName=="") $error[]="Не заполнено поле \\"Имя\\"";
   if ($userPass=="") $error[]="Не заполнено поле \\"Пароль\\"";
   if ($users[$userName]!=md5($userPass)) $error[]="Неверный пароль";
   if (!isset($error)) {
   session_register("userName");
   session_register("userPass");
   $enter=1;
   }
   else $enter=0;
endif;

if (isset($error) && $error!=""):
   echo "Ошибка";
   foreach ($error as $value) echo "

$value

";
endif;

if ($enter==0):
?>
" method="post">

Username:

Password:



elseif ($enter==1):
   echo "Вошли !!!";
endif;
?>

ну а дальше во все файлы где требуется авторизация я require данный файл. При этом содержимое файлов примерно такое:

$enter=0;
require ("admin.php");
if ($enter==1):
 // а тут уже все что угодно
endif;
?>

Вот вроде все...
С уважением, Николай

[Rodent]

Народ я тут инфу накопал по своему вопросу и сейчас в ней разбераюсь, но все равно оцените (на плюсы и минусы) данный код, и как его сделать более правильным без использования БД но с использованием и куки и сессии.

- http://forums.webscript.ru/showthread.php?s=&threadid=6822
- http://phpclub.ru/talk/showthread.php?old=1&threadid=32810

[Макс]

Rodent:
но все равно оцените (на плюсы и минусы) данный код

если пхп работает с register_globals = On то взломать можно (вроде).
Например замени свою форму на такую:

Код: [Выделить]

" method="post">

Username:

Password:

и введи в поля логин/пароль - new_user/1
c4ca4238a0b923820dcc509a6f75849b - это md5("1");

[Rodent]

Так мой сервак, просто так переменные из формы брать не будет их надо сначала объявить типа
$users[]=$_POST["users"];
и тому подобное...
Хотя я могу и заблуждаться...

[Neter]

Rodent:
global $userName, $userPass;

Что ты этим хочешь сказать?

Rodent:
if (!isset($error)) {
session_register("userName");
session_register("userPass");
$enter=1;
}
else $enter=0;
endif;

Красиво написано Ты уж опредились как-нибудь.

Rodent:
if (isset($error) && $error!=""):

Ну кто же так делает? Ай-ай-ай..

Обьяви $error как пустой массив в начале скрипта. И проверяй:
if (count($error))

[Макс]

Rodent:
Так мой сервак, просто так переменные из формы брать не будет их надо сначала объявить типа

 я же написал, что эта дыра только при register_globals = on

[Rodent]

Neter
1. я их глобализировал , т.к. мой сервак начинал ругаться. выдавал типа Warning: Unknown(): Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on line 0"
2. с этим я не понял с чем мне надо определиться???
3. опять не понял в чем моя ошибка?

[Neter]

Rodent Переменные "глобализируют" только внутри функций, какая версия РНР?.

2.
Либо ты пишешь так if (expr){  }
Либо if (expr):
endif;

3. Добавь в начало $error = array();
И проверяй как if (count($array))

Почему? Потому что так - правильно.

[OFF]Люди зацените часть сырца РНРшного сайта http://www.php.net/include/site.inc[/OFF]

[Rodent]

Neter
1. Apache 1.3.26 PHP 4.3.3
2. C этим тоже разобрался, спасибо что уточнил
3. Ну добавлю я $error=array();
Проверю if (count($array)), но чо мне это даст? каков будет ответ?
что вообще эта за структура count ($array) и что она мне дает?

[Neter]

Rodent Тьфу ты, не $array а $error, count($error) возвратит количество элементов массива, так правильней чем сначала искать есть ли эта переменная а потом сравнивать массив со строкой.

[Rodent]

Neter
То есть если count($error) мне выдает 0, то можно продолжать работать?

Всем
Ладно я не много отвлекся от темы. может кто-нить еще даст советы по оптимизации данного вида авторизации. Или то что есть нормально?

[Rodent]

Я под конец совсем запулся с сессиями.
как я понял, для того чтобы зарегистрировать переменную нужно написать
session_start();
session_register("user");
После этого данная переменная появляется в в сессии, но она пока без значения, теперь мы ей присваиваем значение
$user="admin";
по идее в сессии теперь находиться переменная user со значением admin. правильно???
Теперь. как мне добыть данную переменную на других страницах сайта???
Опять открыть сессию и зарегить переменную
session_start();
session_register("user");
теперь, по идее опять же, если написать
echo $user;
мне браузер должен вывести admin.
Я прав или нет??? сама схема работы сессии мной понята правильно???

[Rodent]

И еще мне не совсем нравиться моя авторизация на других страницах сайта

$enter=0;
require ("admin.php");
if ($enter==1):
// а тут уже все что угодно
endif;
?>

Ситуация такая. что я допустим нормально зарегился на страничке авторизаторе, перехожу на другие защищенный странички где вставлена ссылка
reqiure (auth.php);
и допустим что авторизация не прошла. Тогда скрипт должен тут же прекратить долнейший вывод странички и перенаправить пользователя еще раз зарегиться.

[Rodent]

Я не слишком много вопросов задаю???
я новичок в пхп, но я стараюсь, перед тем как задавать вопросы проникнуться данной проблемой.
Ну а в общем данный форум, мне кажется, для того и существует чтобы помогать таким как мне и делиться опытом.
Или я опять же не прав???

[Neter]

Rodent После товарища под ником "хах" твои вопросы как бальзам на душу :)

Я несколько подправил твой код.

auth.php
<?
$users["demo"]=md5("demo");

session_start();

$error = array(); // Типа так надо :)
$_SESSION[\'username\'] = "";
$_SESSION[\'userpass\'] = "";

if (@$_POST["logon"]){ // @ Нужна для подавления ошибок . т.е. если человек не жмакнул кнопку
        $userName = trim(@$_POST["user"]);
        $userPass = trim(@$_POST["pass"]);
        if ($userName=="") { $error[]="Не заполнено поле \\"Имя\\""; }
        if ($userPass=="") { $error[]="Не заполнено поле \\"Пароль\\""; }
        if (array_key_exists($username, $users) && $users[$userName]!=md5($userPass)) { $error[]="Неверный пароль"; } // @ тут нужна потому что если индекса с логином не окажется чтобы РНР не ругался.
        if (!count($error)) {
                $_SESSION[\'username\'] = $userName; // С переменными сесси гораздо удобней работать как с суперглобальным массивом.
                $_SESSION[\'userpass\'] = $userPass;
        }
}

if (count($error)){ // Если $error не пуст покажем его содержимое.
        echo "Ошибка";
        foreach ($error as $value) { echo "<li>$value</li>"; }
}

if (!$_SESSION[\'username\']){
?>
<form action="<?=$_SERVER[\'PHP_SELF\'];?>" method="post">

Username: <input name="user" type="Text" size="10">

Password: <input name="pass" type="Password" size="10">

<input name="logon" type="submit" value="Войти">
</form>
<?
exit; // Вывести форму и закончить выполнение скрипта.
}
?>

test.php
<? 
require("auth.php");
?>
А вот тут уже что угодно :)