Авторизация в админ панели

@kirill_kuts · Регистрация: 17.12.2015

Студворк — интернет-сервис помощи студентам

Всем привет! Поступил заказ, для которого нужно оформить примитивную кастомную CMS. Собственно, страх в плане безопасности для входа в админ панель. Имеется вот такой вот код в файле config.php

PHP
1
2
define( "ADMIN_USERNAME", "admin" );
define( "ADMIN_PASSWORD", "mypass" );

И собственно вот таким нехитрым способом при логине все это дело проверяется

PHP
1
if ( $_POST['username'] == ADMIN_USERNAME && $_POST['password'] == ADMIN_PASSWORD )

Что скажите в плане безопасности? Как нужно защитить все это дело?

@Glart · 17.12.2015, 12:26

А какой уровень защиты необходим?
1. Как для мелкого проекта?
2. Как для среднего проекта?
3. Как для большого проекта?
4. Как для супер секретного проекта?

Если на уровне примитива, то вполне сойдет.
Если на уровне примитива, то можно еще через htaccess файл прописывать доступы по логину и паролю.

Но в таком виде можно поставить на брут и если окажется что логин и пароль простые, то можно их найти брутом.

Для антибрута обычно используют капчу, блокировка попыток ввода, скажем на 15 минут, после 3х неудачных.

Все зависит от того, какой уровень защиты нужен.

@Raisin Zn · 17.12.2015, 12:27

На мой взгляд лучше хранить пароли и логины в базе данных. Пароль лучше шифровать, например md5().

@Glart · 17.12.2015, 12:32

Сообщение от Raisin Zn

Пароль лучше шифровать, например md5().

+ еще не забывать подсолить...

@kirill_kuts · 17.12.2015, 12:48 **[ТС]**

Glart, 1-2 скорее,
Я бы хотел для успокоения совести хоть что-то для защиты добавить.

@Glart · 17.12.2015, 12:57

Сообщение от kirill_kuts

Я бы хотел для успокоения совести хоть что-то для защиты добавить.

Можно добавить капчу, выглядит грозно снаружи. Сделать пароль случайным набором символов и не из 4-6, а хотя бы 10. Да множество вариантов. Можно, как было выше сказано сделать через БД с использованием хеш функции.

Я не могу знать, что может успокоить вашу совесть.

@kirill_kuts · 17.12.2015, 13:05 **[ТС]**

Glart, Успокоит душу и добавит уверенности

Длинна пароля однозначно будет больше и уже нашел статью на хабре по хеш-функциям, спасибо

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@Glart В поисках себя 115 / 89 / 34 Регистрация: 12.11.2015 Сообщений: 529
	17.12.2015, 12:26
	А какой уровень защиты необходим? 1. Как для мелкого проекта? 2. Как для среднего проекта? 3. Как для большого проекта? 4. Как для супер секретного проекта? Если на уровне примитива, то вполне сойдет. Если на уровне примитива, то можно еще через htaccess файл прописывать доступы по логину и паролю. Но в таком виде можно поставить на брут и если окажется что логин и пароль простые, то можно их найти брутом. Для антибрута обычно используют капчу, блокировка попыток ввода, скажем на 15 минут, после 3х неудачных. Все зависит от того, какой уровень защиты нужен. 0

@Raisin Zn 101 / 100 / 51 Регистрация: 19.04.2011 Сообщений: 965
	17.12.2015, 12:27
	На мой взгляд лучше хранить пароли и логины в базе данных. Пароль лучше шифровать, например md5(). 1

@kirill_kuts 0 / 0 / 0 Регистрация: 17.12.2015 Сообщений: 11
	17.12.2015, 12:48 [ТС]
	Glart, 1-2 скорее, Я бы хотел для успокоения совести хоть что-то для защиты добавить. 0

@kirill_kuts 0 / 0 / 0 Регистрация: 17.12.2015 Сообщений: 11
	17.12.2015, 13:05 [ТС]
	Glart, Успокоит душу и добавит уверенности Длинна пароля однозначно будет больше и уже нашел статью на хабре по хеш-функциям, спасибо 0