• новости
• статьи
• п.о.
• мнения
• ссылки
• о проекте

Реклама

-- АРХИВЫ -- Август 2015 Июль 2015 Июнь 2015 Май 2015 Апрель 2015 Март 2015 Февраль 2015 Январь 2015 Декабрь 2014 Ноябрь 2014 Октябрь 2014 Сентябрь 2014 Август 2014 Июль 2014 Июнь 2014 Май 2014 Апрель 2014 Март 2014 Февраль 2014 Январь 2014 Декабрь 2013 Ноябрь 2013 Октябрь 2013 Сентябрь 2013 Август 2013 Июль 2013 Июнь 2013 Май 2013 Апрель 2013 Март 2013 Февраль 2013 Январь 2013 Декабрь 2012 Ноябрь 2012 Октябрь 2012 Сентябрь 2012 Август 2012 Июль 2012 Май 2012 Апрель 2012 Март 2012 Февраль 2012 Январь 2012 Декабрь 2011 Ноябрь 2011 Октябрь 2011 Сентябрь 2011 Август 2011 Июль 2011 Июнь 2011 Май 2011 Апрель 2011 Март 2011 Февраль 2011 Январь 2011 Декабрь 2010 Ноябрь 2010 Октябрь 2010 Сентябрь 2010 Август 2010 Июль 2010 Июнь 2010 Май 2010 Апрель 2010 Март 2010 Февраль 2010 Январь 2010 Декабрь 2009 Ноябрь 2009 Октябрь 2009 Сентябрь 2009 Август 2009 Июль 2009 Июнь 2009 Май 2009 Апрель 2009 Март 2009 Февраль 2009 Январь 2009 Декабрь 2008 Ноябрь 2008 Сентябрь 2008 Август 2008 Июль 2008 Июнь 2008 Май 2008 Апрель 2008 Март 2008 Февраль 2008 Январь 2008 Декабрь 2007 Ноябрь 2007 Октябрь 2007 Сентябрь 2007 Август 2007 Июль 2007 Июнь 2007 Май 2007 Апрель 2007 Март 2007 Февраль 2007 Январь 2007 Декабрь 2006 Ноябрь 2006 Октябрь 2006 Сентябрь 2006 Август 2006 Июль 2006 Июнь 2006 Май 2006 Апрель 2006 Март 2006 Февраль 2006 Январь 2006 Декабрь 2005 Ноябрь 2005 Октябрь 2005 Сентябрь 2005 Август 2005 Июль 2005 Июнь 2005 Май 2005 Апрель 2005 Март 2005 Февраль 2005 Январь 2005 Декабрь 2004 Ноябрь 2004 Октябрь 2004 Сентябрь 2004 Июнь 2004 Май 2004 Апрель 2004 Декабрь 2003 Март 2003 Февраль 2003 Октябрь 2002 Сентябрь 2002    Архив сайта
  

Поиск

Допускается использование ключевых слов AND, OR и NOT.

Обсуждения

• Google: бесплатный антивирус для всех желающих (22)
• "Мамба" удалила десятки миллионов анкет (184)
• Компания «Google» провела ребрендинг логотипа и меню (1)
• Растолкованный PageRank (Часть 5) (1)
• "Сам себе режиссер" - теперь и в Интернете (302)
• Сервисом Apple Music пользуются 11 млн человек (1)
• В России появится аналог eBay и Amazon (1)
• Браузеры: Вышел Internet Explorer 7 Beta 2 (5)
• Теперь создать социальную сеть сможет каждый (174)
• В России более 700 сайтов может быть заблокировано (2)

Статьи

• 12.02.06 CMS с desktop-клиентом - за и против (Часть 2)
• 11.02.06 CMS с desktop-клиентом - за и против (Часть 1)
• 11.02.06 JavaScript и объектная модель (Окончание)
• 10.02.06 JavaScript и объектная модель (Начало)
• 09.02.06 Направления развития веб-технологий в 2006 году (Окончание)

Программы

• 02.02.06 Браузеры: Вышел Internet Explorer 7 Beta 2
• 02.12.05 Популярный браузер Mozilla Firefox обновился до версии 1.5
• 13.07.05 PHP 4.4.0
• 30.06.05 Nvu 1.0
• 17.06.05 OptiPerl 5
• 09.06.05 MSN Search Toolbar
• 24.05.05 mod_perl 2.0.0
• 20.05.05 Netscape 8
• 19.04.05 Opera 8
• 13.04.05 ActiveState Komodo 3.1

Ноябрь 3, 2005

Приемы безопасного веб-программирования на PHP (Часть 5)

Рассмотрим несколько вариантов, как это можно сделать:

После авторизации все скрипты защищенной части вызываются с неким флажком вида adminmode=1. (Не надо смеяться - я сам такое видел).

Ясно, что любой, кому известен флажок adminmode, может сам сформировать URL и зайти в режиме администрирования. Кроме того - нет возможности отличить одного пользователя от другого.

Скрипт авторизации может каким-нибудь образом передать имя пользователя другим скриптам. Распространено во многих www-чатах - для того, чтобы отличить, где чье сообщение идет, рядом с формой типа text для ввода сообщения, пристраивается форма типа hidden, где указывается имя пользователя. Тоже ненадежно, потому что хакер может скачать документ с формой к себе на диск и поменять значение формы hidden. Некоторую пользу здесь может принести вышеупомянутая проверка HTTP_REFERER - но, как я уже говорил, никаких гарантий она не дает.

Определение пользователя по IP-адресу. В этом случае, после прохождения авторизации, где-нибудь в локальной базе данных (sql, dbm, да хоть в txt-файле) сохраняется текущий IP пользователя, а все скрипты защищенной части смотрят в переменную REMOTE_ADDR и проверяют, есть ли такой адрес в базе. Если есть - значит, авторизация была, если нет - "hacker? he-he..." :-)

Это более надежный способ - не пройти авторизацию и получить доступ удастся лишь в том случае, если с того же IP сидит другой пользователь, успешно авторизовавшийся. Однако, учитывая распространенность прокси-серверов и IP-Masquerad'инга - это вполне реально.

Единственным, известным мне простым и достаточно надежным способом верификации личности пользователя является авторизация при помощи random uid. Рассмотрим ее более подробно.

После авторизации пользователя скрипт, проведший авторизацию, генерирует достаточно длинное случайное число:

mt_srand((double)microtime()*1000000);
$uid=mt_rand(1,1000000);

Это число он:

а) заносит в локальный список авторизовавшихся пользователей;
б) Выдает пользователю.

Пользователь при каждом запросе, помимо другой информации (сообщение в чате, или список сообщений в гостевой книге), отправляет серверу свой uid. При этом в документе с формами ввода будет присутствовать, наряду с другими формами, тег вида:

<input type=hidden name=uid value=1234567890>

Разместил:

Автор:

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.

Имя:
Комментарий:
Цифровой код:
	Уверены?

Скачать приложение казино

©2002-2007 NBSP.RU
Все права защищены.   |   Ссылки, Полезные заметки