Автор Тема: Проблемы с авторизацией (Прочитано 12776 раз)

FreeSpace · « **Ответ #15 :** 25 Января 2004, 00:36:17 »

Какой $PHP_AUTH_USER?!
Тебе же сказали, что вместо него нужно использовать $_SERVER[\'PHP_AUTH_USER\']! И то же самое - с паролем.
И какой ещё $rez, если тебе Ромик дал готовый пример без всяких $rez\'ов?!

Такое впечатление, что ты вообще ничего в скрипте не изменил и продолжаешь жаловаться, что ничего не работает!

Berkut · « **Ответ #16 :** 25 Января 2004, 01:30:59 »

To FreeSpace:
Мне кажется ты не всё прочитал.Во-первых:готовый скрипт,который дал Ромик- неработает! Ни первый вариант,ни второй с исправлениями.Как-раз не принимает логин с паролем.
AlieN же нашёл ошибку в моём скрипте,и он теперь хотя-бы принимает пароль.
P.S.Я только начал изучать этот ПХП,сижу с книженцией описания операторов и синтаксиса.Человек я тёмный,поэтому и прошу помощи,хочется всё-таки разобраться.А писать такие гневные сообщения не прочитав всей ветки и не вникнув в суть проблемы-нехрен.

FreeSpace · « **Ответ #17 :** 25 Января 2004, 01:48:53 »

Давай ты вначале покажешь тот исходник, который сейчас есть у тебя (и будь дорб, положи его между тегами [ php ] и [ /php ]), а потом будем смотреть, кто тут не вникнул в суть проблемы.

Berkut · « **Ответ #18 :** 25 Января 2004, 03:47:48 »

УР-р-р-а!Всё фунициклирует!Всем muchas gracias!

<?php
foreach(file("passw/parol") as $k)
{
if(trim($k)=="$PHP_AUTH_USER $PHP_AUTH_PW")
{$rez=1;}}
if ($rez!=1)
{Header(\'WWW-Authenticate: Basic realm="Realm"\');
  Header("HTTP/1.0 401 Unauthorized");
  echo  "Bad password";
  exit;
}
?>

FreeSpace · « **Ответ #19 :** 25 Января 2004, 13:43:16 »

Тебе уже один раз сказали, но ты не реагируешь:
Попробуй вызвать свой скрипт вот так:
http://www.host.com/script.php?rez=1

Меняздесьдавнонет · « **Ответ #20 :** 25 Января 2004, 20:17:21 »

Цитировать

FreeSpace:
А писать такие гневные сообщения не прочитав всей ветки и не вникнув в суть проблемы-нехрен.

Мальчик.
пишешь гневные сообщения здесь только ты.
И не читаешь того, что тебе пишут - тоже ты.
Поэтому прикрути фитилек и не вякай.

Если ты еще не понял, то тебе тут никто готовенькое не приносит, чтобы ты вставил в свой скрипт и забыл.
И в ошибках твоих копаться никто не будет.

Хочешь изучать?
Вот и изучай.
Задавай вопросы.
Вежливо отвечай тем, кто пытается тебе помочь.
Все понял?

Меняздесьдавнонет · « **Ответ #21 :** 25 Января 2004, 20:19:57 »

умение найти ошибку никак не зависит от знания или незнпания РНР.
Для этого надо только иметь голову на плечах.
Если не умеешь искать ошибки - спроси, мы научим.
Если не хочешь -здесь за тебя это делать никто не будет.
Особенно, если ты не видишь сам дырищи в своей программе и не обращаешь внимания на то ,что тебе говорят

Berkut · « **Ответ #22 :** 25 Января 2004, 21:49:35 »

А как-же можно подделать rez=1 ? Ведь она нигде в открытом виде не фигурирует,в том числе и в адрессной строке после авторизации.

Меняздесьдавнонет · « **Ответ #23 :** 25 Января 2004, 23:44:33 »

Berkut
Ты всегда такой странный?
Тебе говорят - у тебя дыра, а ты кочевряжишься.
кому нужен нормальный скрипт? Мне? Мне твои ламерские поделки сто лет в обед не сдались.
Не хочешь писать нормально - не надо, ради бога!

Ты хочешь, чтобы я тебе тут лекцию по взлому прочел? Не дождесся!
Тебе сказали, как правильно. Не хочешь делать - зачем тогда вообще на форум ходить?

Berkut · « **Ответ #24 :** 26 Января 2004, 01:55:40 »

Ну раз ты такой умный и продвинутый программист,объясни в чём-же дыра?Или напиши РАБОТАЮЩИЙ скрипт,а то твой предыдущий скрипт "без дыр" не работает.Ты только трепешся а реально ничего предложить или объяснить не можешь.

Yukko · « **Ответ #25 :** 26 Января 2004, 11:19:01 »

Цитировать

Berkut:
объясни в чём-же дыра?

попытаюсь объяснить.
Ошибка №1 неинициализирована явно переменная $res
Ошибка №2 ты ошибочно думаешь, что $res нигде не фигурирует, но ничего не мешает заставить ее фигурировать.
Ошибка №3 что-то мне подсказывает, что у тебя register_globals=on

Еще раз попробуй вызвать свой скрипт, как тебе сказал FreeSpace, если у тебя register_globals=on, то у тебя в скрипте автоматически появляется переменная $res у которой значение равно единице, а значит что вот эта проверка не имеет никакого смысла, у тебя уже вначале $res=1:

if(trim($k)=="$PHP_AUTH_USER $PHP_AUTH_PW")
{$rez=1;}}

а как видно дальше, значение $res=1 - атвоматический пропуск в защищенную зону.

Как надо?
1. Надо в начале скрипта, поставить $res=0;
это называется явно инициализировать переменную и делать так всегда.
2. найти свой php.ini и поставить register_globals=off и track_vars = on
http://faq.phpclub.net/register_globals
3. надо внимательно читать топик и слушать, что говорят люди, которые программируют на этом языке каждый день.

RomikChef, FreeSpace, я нигде не ошибся?

Меняздесьдавнонет · « **Ответ #26 :** 26 Января 2004, 16:50:30 »

Цитировать

Berkut:
напиши РАБОТАЮЩИЙ скрипт

Ты так и не понял.
Писать скрипты должен ты сам.
Здесь тебе их писать никто не нанимался.

И доказывать тебе - тоже никто ничего не будет. Если ты сам не хочешь нормально писать.
Мне кажется, что я уже пояснил эту мысль. Недостаточно доступно?

Berkut · « **Ответ #27 :** 27 Января 2004, 07:05:27 »

register_globals поставил в off, поставил $rez=0 в начале скрипта,
теперь всё нормально? И как всё-таки можно-было вытащить эту $rez=1? Объясните пожалуйста,а то как можно делать защиту,не зная способа её обойти?

Yukko · « **Ответ #28 :** 27 Января 2004, 10:42:39 »

Berkut
прочитай еще раз весь топик с начала и до конца, FreeSpace указал как это сделать, я объяснил почему это так.

Меняздесьдавнонет · « **Ответ #29 :** 27 Января 2004, 11:13:38 »

Berkut, никто не говорит, что скрипт будет выводить надпись "Дорогие хакеры, вам сюда:" и все на тарелочке с голубой каемочкой преподаст, как ты, наверное, думаешь.

Однако потенциальная дыра не перестает быть дырой.
перебором подберут.
Код из-за другой твоей ошибки увидят.
Достаточно тебе причин?
Неубедительные? Ты считаешь себя умнее?
Я тебе уже сказал - дло твое.

Новости:

Автор Тема: Проблемы с авторизацией (Прочитано 12776 раз)