Как создать защищенную авторизацию на сайте

@End_less · Регистрация: 19.04.2016

Студворк — интернет-сервис помощи студентам

Здравствуйте, как более можно написать защищенную авторизацию на сайт.
Почитал в интернете, но там статьи за 2015 год и т.д.

Можно по этапно хотя бы перечислить, то есть.
* Использование PDO
* Использование Session
и т.д

@Azdeman · 17.12.2019, 19:46

Использовать token, ну и я бы использовал подготовленные запросы.

@End_less · 18.12.2019, 00:21 **[ТС]**

Сообщение от Azdeman

Использовать token, ну и я бы использовал подготовленные запросы.

Конкретнее можно?

@Gregory_N · 18.12.2019, 05:03

Приветствую. Я писал с использованием сессий. Если интересно php код страниц и пояснение принципа работы системы под спойлером.

Кликните здесь для просмотра всего текста

Страница логина.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php require_once("includes/connection.php"); ?>
<?php session_start(); ?>
 
    <?php require_once("includes/connection.php"); ?>
    <?php include("includes/header.php"); ?>
    <?php
 
    $banneduser="0";
    $newuser="1";
    $olduser="2";
 
    if(isset($_SESSION["session_username"])){
    header("Location: intropage.php");
    }
 
    if(isset($_POST["login"]))
 
    if(!empty($_POST['username']) && !empty($_POST['password'])) {
    $username=htmlspecialchars($_POST['username']);
    $password=htmlspecialchars($_POST['password']);
    $username=mysqli_real_escape_string($link, $username);
    $password=mysqli_real_escape_string($link, $password);
    $query=mysqli_query($link, "SELECT * FROM usertb WHERE username='".$username."'");
    $row=mysqli_fetch_assoc($query);
    if(!$row['passhash'] OR password_verify($password, $row['passhash'])!==true){
        echo "Invalid username or password!";
 }elseif(password_verify($password, $row['passhash'])===true){
        if($row['privilege'])===$newuser{
        $_SESSION['session_username']=$username;
        header("Location: introepage.php");
 }elseif($row['privilege'])===$olduser{
      $_SESSION['session_username']=$username;
      header("Location: introfpage.php");
 }elseif($row['privilege'])===$banneduser{
      $_SESSION['session_username']=$username;
        header("Location: banpage.php");
 }
 }
 } else {
    $message = "All fields are required!";
 }
 
 ?>
<?php include("includes/header.php"); ?>

Страница регистрации

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php require_once("includes/connection.php"); ?>
<?php
 
    if(isset($_POST["register"])){
 
    if(!empty($_POST['full_name']) && !empty($_POST['username']) && !empty($_POST['password'])) {
 $full_name= htmlspecialchars($_POST['full_name']);
 $username=htmlspecialchars($_POST['username']);
 $password=htmlspecialchars($_POST['password']);
 $username=mysqli_real_escape_string($link, $username);
 $password=mysqli_real_escape_string($link, $password);
 $full_name=mysqli_real_escape_string($link, $full_name);
 $passhash=password_hash($password, PASSWORD_DEFAULT);
 $privilege="1";
 $query=mysqli_query($link, "SELECT * FROM usertb WHERE username='".$username."'");
  $numrows=mysqli_num_rows($query);
if($numrows==0)
   {
    $sql="INSERT INTO usertb (full_name, username, passhash, privilege) VALUES ('$full_name', '$username', '$passhash', '$privilege')";
  $result=mysqli_query($link, $sql);
 if($result){
    $message = "Account Successfully Created";
} else {
 $message = "Failed to insert data information!";
  }
    } else {
    $message = "That username already exists! Please try another one!";
    }
    } else {
    $message = "All fields are required!";
    }
    }
    ?>
 
<?php if (!empty($message)) {echo "<p class='error'>" . "MESSAGE: ". $message . "</p>";} ?>
<?php include("includes/header.php"); ?>

Во время регистрации данные о пользователе (ФИО, логин, пароль) отправляются в мою БД. Пароль пользователя в БД сохраняется в виде хеш-суммы. Также во время регистрации новому юзеру присваивается 1 уровень привилегий, в последующем его может изменить админ в таблице БД. В зависимости от уровня привилегий юзера выводит на приветственную страницу с которой позже происходит (или не происходит в случае если пользователь забанен) редирект на нужную страницу. Для привилегий я прописал три уровня, 1 - новый юзер, 2 - юзер получивший одобрение админа, и 0 - это забаненый юзер.

Добавлено через 2 минуты
По надобности можно также добавить поле для ввода электронной почты юзера, предварительно добавив соответствующее поле на странице регистрации и в таблице БД.

@AlexNewaro · 18.12.2019, 15:04

End_less,
Подозреваю какие статьи читали.
И не все старое - плохо

Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем).
По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос

@End_less · 22.12.2019, 09:55 **[ТС]**

Сообщение от AlexNewaro

Подозреваю какие статьи читали.
И не все старое - плохо
Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем).
По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос

Ну это я могу сделать, вот только она и в правда будет надежной?
Если так, то отлично. Думал что нужно будет писать огромный код от всяких sql-инъекции и т.д.

@tarasalk · 22.12.2019, 10:30

Так-то способов взлома очень много и постоянно придумывают что-то новое

Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss...
Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита.

@AlexNewaro · 22.12.2019, 13:42

End_less,
огромный-то зачем? Эффективный надо бы

@End_less · 23.12.2019, 07:45 **[ТС]**

Сообщение от tarasalk

Так-то способов взлома очень много и постоянно придумывают что-то новое
Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss...
Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита.

Понял, спасибо!
Обязательно узнаю про laravel.

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@End_less 1 / 1 / 0 Регистрация: 19.04.2016 Сообщений: 71

	Как создать защищенную авторизацию на сайте 17.12.2019, 03:55. Показов 2952. Ответов 8 Метки нет (Все метки) Здравствуйте, как более можно написать защищенную авторизацию на сайт. Почитал в интернете, но там статьи за 2015 год и т.д. Можно по этапно хотя бы перечислить, то есть. * Использование PDO * Использование Session и т.д 0

@Azdeman Фрилансер 1871 / 1362 / 604 Регистрация: 12.01.2011 Сообщений: 5,470
	17.12.2019, 19:46
	Использовать token, ну и я бы использовал подготовленные запросы. 0

@AlexNewaro 63 / 34 / 8 Регистрация: 07.02.2015 Сообщений: 125
	18.12.2019, 15:04
	Сообщение было отмечено End_less как решение Решение End_less, Подозреваю какие статьи читали. И не все старое - плохо Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем). По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос 1

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	22.12.2019, 10:30
	Так-то способов взлома очень много и постоянно придумывают что-то новое Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss... Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита. 1

@AlexNewaro 63 / 34 / 8 Регистрация: 07.02.2015 Сообщений: 125
	22.12.2019, 13:42
	End_less, огромный-то зачем? Эффективный надо бы 1

Как создать защищенную авторизацию на сайте

Решение