0

PHP サイトの管理ページを作成しました。私が作成した管理ページを保護したい (私だけがアクセスできるようにしたい) があります。

本格的なログイン システムを作成せずに、このページを保護する最も簡単な方法は何ですか? これはやり過ぎのように感じます。セキュリティの脆弱性が生じるのではないかと心配しています。サイトの残りの部分にログイン システムは必要ありません。

このようなことをした他の人からの推奨事項やアイデアはありますか?

4

6 に答える 6

1

私が想像できる最も簡単な方法は

  <?php
    session_start();
    if(isset($_POST['send'])){
      if($_POST['pw'] == "somepassword"){
        $_SESSION['LOGIN'] = true;
      }
    }

    if(isset($_SESSION['LOGIN'])){
      //your page
    }else{ ?>
      <form method="post" action=""> <p>Password:</p>
        <input name="pw" type="password" />
        <input name="send" value="send" type="submit" />
      </form>
    <?php 
    }
    ?>
于 2012-07-14T20:44:19.923 に答える
1

「Htaccess」を使用して、単一ユーザー用の安全な領域を作成する最も簡単な方法を見つけました。

例:

http://webdesign.about.com/od/htaccess/ht/hthtaccess.htm

しかし、これは PHP や Mysql ではなく、Apache です。

于 2012-07-14T20:29:38.807 に答える
1

最も簡単な方法を尋ねると、

比較のためにあなたのIPを使うことができます:

$myIP="your-ip-here";

if($_SERVER['REMOTE_ADDR']!=$myIP){exit();}

また、ちょっとした get param の比較もできるかもしれません:

$myIP="your-ip-here";
$myGetParamPass="password";

if($_SERVER['REMOTE_ADDR']!=$myIP || $_GET['pass']!==$myGetParamPass){exit();}

次に、あなたの IP アドレスと次のリンクを使用してページにアクセスします。

www.site.com/page.php?pass=password

ただし、頻繁に変更される動的 IP を使用している場合、上記の方法は役に立ちません。

于 2012-07-14T20:25:15.923 に答える
0

最も簡単な方法は次のとおりです。

<?
  session_start();
  $user = 'YOUR_USERNAME';
  $password = 'YOUR_PASSWORD';
  if($_POST['user'] == $user  && $_POST['password'] == $password){
      $_SESSION['logged'] = true;
  }else{
       $_SESSION['logged'] = false;
   }

  if($_SESSION['logged']){
      echo "Logged in"
  }else{
      echo "Acces denied";
  }
?>
于 2012-07-14T20:29:11.427 に答える
0

Cookie を作成し (setcookie ("admin", "i'm admin", time() + $temps) を 1 回だけ使用するか、手動で作成します)、すべての Web ページで次のコードを使用します。

if (isset($_COOKIE['admin'])) { 
      //Do something 
} 
else { die(); }
于 2012-07-14T20:23:45.237 に答える
-1

動作中のスクリーンショット

<?php
$realm = 'Restricted area';

//user => password
$users = array('Username123123' => 'Password1112313', 'Guest' => 'guest');

if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
           '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');

    die('<h1>HTTP/1.1 401 Unauthorized</h1>');
}

// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
    !isset($users[$data['username']]))
    die('<h1>Wrong Credentials!</h1>');


// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

if ($data['response'] != $valid_response)
    die('<h1>Wrong Credentials!!</h1>');

echo 'Your are logged in as: ' . $data['username'] . '<hr />';


// function to parse the http auth header
function http_digest_parse($txt)
{
    // protect against missing data
    $needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
    $data = array();
    $keys = implode('|', array_keys($needed_parts));

    preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);

    foreach ($matches as $m) {
        $data[$m[1]] = $m[3] ? $m[3] : $m[4];
        unset($needed_parts[$m[1]]);
    }

    return $needed_parts ? false : $data;
}
?>
于 2012-07-14T20:19:49.490 に答える