Авторизация в админ панели

@kirill_kuts · Регистрация: 17.12.2015

Студворк — интернет-сервис помощи студентам

Всем привет! Поступил заказ, для которого нужно оформить примитивную кастомную CMS. Собственно, страх в плане безопасности для входа в админ панель. Имеется вот такой вот код в файле config.php

PHP
1
2
define( "ADMIN_USERNAME", "admin" );
define( "ADMIN_PASSWORD", "mypass" );

И собственно вот таким нехитрым способом при логине все это дело проверяется

PHP
1
if ( $_POST['username'] == ADMIN_USERNAME && $_POST['password'] == ADMIN_PASSWORD )

Что скажите в плане безопасности? Как нужно защитить все это дело?

@Glart · 17.12.2015, 12:26

А какой уровень защиты необходим?
1. Как для мелкого проекта?
2. Как для среднего проекта?
3. Как для большого проекта?
4. Как для супер секретного проекта?

Если на уровне примитива, то вполне сойдет.
Если на уровне примитива, то можно еще через htaccess файл прописывать доступы по логину и паролю.

Но в таком виде можно поставить на брут и если окажется что логин и пароль простые, то можно их найти брутом.

Для антибрута обычно используют капчу, блокировка попыток ввода, скажем на 15 минут, после 3х неудачных.

Все зависит от того, какой уровень защиты нужен.

@Raisin Zn · 17.12.2015, 12:27

На мой взгляд лучше хранить пароли и логины в базе данных. Пароль лучше шифровать, например md5().

@Glart · 17.12.2015, 12:32

Сообщение от Raisin Zn

Пароль лучше шифровать, например md5().

+ еще не забывать подсолить...

@kirill_kuts · 17.12.2015, 12:48 **[ТС]**

Glart, 1-2 скорее,
Я бы хотел для успокоения совести хоть что-то для защиты добавить.

@Glart · 17.12.2015, 12:57

Сообщение от kirill_kuts

Я бы хотел для успокоения совести хоть что-то для защиты добавить.

Можно добавить капчу, выглядит грозно снаружи. Сделать пароль случайным набором символов и не из 4-6, а хотя бы 10. Да множество вариантов. Можно, как было выше сказано сделать через БД с использованием хеш функции.

Я не могу знать, что может успокоить вашу совесть.

@kirill_kuts · 17.12.2015, 13:05 **[ТС]**

Glart, Успокоит душу и добавит уверенности

Длинна пароля однозначно будет больше и уже нашел статью на хабре по хеш-функциям, спасибо

Новые блоги и статьи Все статьи Все блоги /
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Рецензия / Мнение Это мой обзор планшета X220 с точки зрения школьника. Недавно я решила попытаться уменьшить свой. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .

@Glart В поисках себя 115 / 89 / 34 Регистрация: 12.11.2015 Сообщений: 529
	17.12.2015, 12:26
	А какой уровень защиты необходим? 1. Как для мелкого проекта? 2. Как для среднего проекта? 3. Как для большого проекта? 4. Как для супер секретного проекта? Если на уровне примитива, то вполне сойдет. Если на уровне примитива, то можно еще через htaccess файл прописывать доступы по логину и паролю. Но в таком виде можно поставить на брут и если окажется что логин и пароль простые, то можно их найти брутом. Для антибрута обычно используют капчу, блокировка попыток ввода, скажем на 15 минут, после 3х неудачных. Все зависит от того, какой уровень защиты нужен. 0

@Raisin Zn 101 / 100 / 51 Регистрация: 19.04.2011 Сообщений: 965
	17.12.2015, 12:27
	На мой взгляд лучше хранить пароли и логины в базе данных. Пароль лучше шифровать, например md5(). 1

@kirill_kuts 0 / 0 / 0 Регистрация: 17.12.2015 Сообщений: 11
	17.12.2015, 12:48 [ТС]
	Glart, 1-2 скорее, Я бы хотел для успокоения совести хоть что-то для защиты добавить. 0

@kirill_kuts 0 / 0 / 0 Регистрация: 17.12.2015 Сообщений: 11
	17.12.2015, 13:05 [ТС]
	Glart, Успокоит душу и добавит уверенности Длинна пароля однозначно будет больше и уже нашел статью на хабре по хеш-функциям, спасибо 0