PHP サイトの管理ページを作成しました。私が作成した管理ページを保護したい (私だけがアクセスできるようにしたい) があります。
本格的なログイン システムを作成せずに、このページを保護する最も簡単な方法は何ですか? これはやり過ぎのように感じます。セキュリティの脆弱性が生じるのではないかと心配しています。サイトの残りの部分にログイン システムは必要ありません。
このようなことをした他の人からの推奨事項やアイデアはありますか?
PHP サイトの管理ページを作成しました。私が作成した管理ページを保護したい (私だけがアクセスできるようにしたい) があります。
本格的なログイン システムを作成せずに、このページを保護する最も簡単な方法は何ですか? これはやり過ぎのように感じます。セキュリティの脆弱性が生じるのではないかと心配しています。サイトの残りの部分にログイン システムは必要ありません。
このようなことをした他の人からの推奨事項やアイデアはありますか?
私が想像できる最も簡単な方法は
<?php
session_start();
if(isset($_POST['send'])){
if($_POST['pw'] == "somepassword"){
$_SESSION['LOGIN'] = true;
}
}
if(isset($_SESSION['LOGIN'])){
//your page
}else{ ?>
<form method="post" action=""> <p>Password:</p>
<input name="pw" type="password" />
<input name="send" value="send" type="submit" />
</form>
<?php
}
?>
「Htaccess」を使用して、単一ユーザー用の安全な領域を作成する最も簡単な方法を見つけました。
例:
http://webdesign.about.com/od/htaccess/ht/hthtaccess.htm
しかし、これは PHP や Mysql ではなく、Apache です。
最も簡単な方法を尋ねると、
比較のためにあなたのIPを使うことができます:
$myIP="your-ip-here";
if($_SERVER['REMOTE_ADDR']!=$myIP){exit();}
また、ちょっとした get param の比較もできるかもしれません:
$myIP="your-ip-here";
$myGetParamPass="password";
if($_SERVER['REMOTE_ADDR']!=$myIP || $_GET['pass']!==$myGetParamPass){exit();}
次に、あなたの IP アドレスと次のリンクを使用してページにアクセスします。
www.site.com/page.php?pass=password
ただし、頻繁に変更される動的 IP を使用している場合、上記の方法は役に立ちません。
最も簡単な方法は次のとおりです。
<?
session_start();
$user = 'YOUR_USERNAME';
$password = 'YOUR_PASSWORD';
if($_POST['user'] == $user && $_POST['password'] == $password){
$_SESSION['logged'] = true;
}else{
$_SESSION['logged'] = false;
}
if($_SESSION['logged']){
echo "Logged in"
}else{
echo "Acces denied";
}
?>
Cookie を作成し (setcookie ("admin", "i'm admin", time() + $temps) を 1 回だけ使用するか、手動で作成します)、すべての Web ページで次のコードを使用します。
if (isset($_COOKIE['admin'])) {
//Do something
}
else { die(); }
<?php
$realm = 'Restricted area';
//user => password
$users = array('Username123123' => 'Password1112313', 'Guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('<h1>HTTP/1.1 401 Unauthorized</h1>');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('<h1>Wrong Credentials!</h1>');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response)
die('<h1>Wrong Credentials!!</h1>');
echo 'Your are logged in as: ' . $data['username'] . '<hr />';
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>