ARCHIV

Ahoj,velice by mne zajímal PHP skript,který po špatném loginu zabrání na určitou dobu přístup na stránku.Dík

Pokud se vam nechce resit to na urovni samotneho PHP kodu, slo by to vyresit i na aplikacni nebo systemove urovni (firewall). Samotny kod bude rekl bych trivialni. ;)

Rekl bych,ze to budu muset resit kodem, protoze ty stranky jsou na freehostingovem serveru.Bohuzel nevim jak bych to kodem resil :-(

Nebudu tvrdit, že mám jedinečnou metodu, ale prostě si do db uložím IP adresu (dokonce obě i tu forvardovací) a hash, který generuji z IP, času přihlášení a loginu (loginem je mail). Hash si předávám v URL a při každém načtení kontroluji jak hash, tak IP. Při odhlášení smažu hash. To co jsem Vám napsal by mělo stačit…

To je uzasne slozity zpusob jak overit, ze je uzivatel prihlasen, ktery prinasi naprosto ulovou bezpecnost navic.

Ovsem puvodni tazatel se ptal, jak po neuspesnem prihlaseni zamezit uzivateli na nejakou dodu pristup. Coz bych tedy chypal jako takoveto "Uzivateli jsi hovado, zadal si heslo spatne nkrat, zkus to za rok znovu". To lze realizovat tak, ze si pro kazde nepovedene prihlaseni nekam ulozim datum a nejakou identifikaci uzivatele (jmeno a/nebo IP). A pred tim nez zacnu overovat jestli je heslo spravne, zjistim, kolikrat se danemu uzivateli nepovedlo prihlasit za nejaky casovy interval.

Ufff, omlouvám se, opravdu jsem četl blbbě... Nějak jsem neviděl slova na určitou dobu, ale pak je to jasné a přesně jak si napsal... Zapíšu čas posledního neúspěšného přístupu do db a dokud neuplyne nějaká doba, tak ignoruji jeho přihlašování.

Docela by mě zajímalo jak řešíš autorizovaný přístup Ty, když se Ti nezdá můj způsob :-)...

Autorizace se da resit strasne jednoduse - uplne normalne. Tj. budto HTTP Basic autentizace nebo nejake ty sessny, nebo cosi jako HTTP basic autentizace pres cookies. Jde o to, ze to co ty stale propagujes je sileny overkill. Pokud to pujde nesifrovane tak to stejne bezpecne nebude a pokud to pujde sifrovane, je to do znacne miry jedno.

Mimochodem, znas omezeni sessions... Zivotnost... Pokud nemas vliv na nastaveni serveru, tak Te tohle obcas dost odporne vypece. Jedno jsem se na tom spalil a od ty doby je nechci videt. Cookies ma problem s tim, ze je ma dost lidi vyplych... Takze jsme zpet, ze mi zbyva HTTP basic aut., metody post a get. Sileny overkill, kdyz Ti poslu url, tak se stejne daleko nedostanes... Mimochodem tohle reseni jsem odkoukal od cloveka, ktery byl dost vysazeny na bezpecnost, nerikam, ze mam jeho kod, ale principialne stejnou myslenku...

Ano tohle je prave vec, ktera se mi na tom nelibi: "kdyz Ti poslu url, tak se stejne daleko nedostanes". URL by melo byt nezavisle od toho, jako jaky uzivatel jsem prihlasen (a pokud mozno i od toho, jestli jsem vubec prihlasen), a v zavislosti na tom, jestli mam pravo takovou stranku videt, dostanu budto 200 nebo 403.

Jedna z možností je dát na začátek nějaký takovýto kód:
<?php
IF ( !($PHP_AUTH_USER == "user" and $PHP_AUTH_PW=="pass") ) {
Header("WWW-Authenticate: Basic realm=\"WEBSITE\"");
Header("HTTP/1.0 401 Unauthorized");
echo ("Zadejte správné údaje!");
exit;
}
?>

"user" a "pass" si samozřejmě změníte. Nejlepší je zkombinovat to s databází, jak už někdo níže zmiňuje.