Как создать защищенную авторизацию на сайте

@End_less · Регистрация: 19.04.2016

Студворк — интернет-сервис помощи студентам

Здравствуйте, как более можно написать защищенную авторизацию на сайт.
Почитал в интернете, но там статьи за 2015 год и т.д.

Можно по этапно хотя бы перечислить, то есть.
* Использование PDO
* Использование Session
и т.д

@Azdeman · 17.12.2019, 19:46

Использовать token, ну и я бы использовал подготовленные запросы.

@End_less · 18.12.2019, 00:21 **[ТС]**

Сообщение от Azdeman

Использовать token, ну и я бы использовал подготовленные запросы.

Конкретнее можно?

@Gregory_N · 18.12.2019, 05:03

Приветствую. Я писал с использованием сессий. Если интересно php код страниц и пояснение принципа работы системы под спойлером.

Кликните здесь для просмотра всего текста

Страница логина.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php require_once("includes/connection.php"); ?>
<?php session_start(); ?>
 
    <?php require_once("includes/connection.php"); ?>
    <?php include("includes/header.php"); ?>
    <?php
 
    $banneduser="0";
    $newuser="1";
    $olduser="2";
 
    if(isset($_SESSION["session_username"])){
    header("Location: intropage.php");
    }
 
    if(isset($_POST["login"]))
 
    if(!empty($_POST['username']) && !empty($_POST['password'])) {
    $username=htmlspecialchars($_POST['username']);
    $password=htmlspecialchars($_POST['password']);
    $username=mysqli_real_escape_string($link, $username);
    $password=mysqli_real_escape_string($link, $password);
    $query=mysqli_query($link, "SELECT * FROM usertb WHERE username='".$username."'");
    $row=mysqli_fetch_assoc($query);
    if(!$row['passhash'] OR password_verify($password, $row['passhash'])!==true){
        echo "Invalid username or password!";
 }elseif(password_verify($password, $row['passhash'])===true){
        if($row['privilege'])===$newuser{
        $_SESSION['session_username']=$username;
        header("Location: introepage.php");
 }elseif($row['privilege'])===$olduser{
      $_SESSION['session_username']=$username;
      header("Location: introfpage.php");
 }elseif($row['privilege'])===$banneduser{
      $_SESSION['session_username']=$username;
        header("Location: banpage.php");
 }
 }
 } else {
    $message = "All fields are required!";
 }
 
 ?>
<?php include("includes/header.php"); ?>

Страница регистрации

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php require_once("includes/connection.php"); ?>
<?php
 
    if(isset($_POST["register"])){
 
    if(!empty($_POST['full_name']) && !empty($_POST['username']) && !empty($_POST['password'])) {
 $full_name= htmlspecialchars($_POST['full_name']);
 $username=htmlspecialchars($_POST['username']);
 $password=htmlspecialchars($_POST['password']);
 $username=mysqli_real_escape_string($link, $username);
 $password=mysqli_real_escape_string($link, $password);
 $full_name=mysqli_real_escape_string($link, $full_name);
 $passhash=password_hash($password, PASSWORD_DEFAULT);
 $privilege="1";
 $query=mysqli_query($link, "SELECT * FROM usertb WHERE username='".$username."'");
  $numrows=mysqli_num_rows($query);
if($numrows==0)
   {
    $sql="INSERT INTO usertb (full_name, username, passhash, privilege) VALUES ('$full_name', '$username', '$passhash', '$privilege')";
  $result=mysqli_query($link, $sql);
 if($result){
    $message = "Account Successfully Created";
} else {
 $message = "Failed to insert data information!";
  }
    } else {
    $message = "That username already exists! Please try another one!";
    }
    } else {
    $message = "All fields are required!";
    }
    }
    ?>
 
<?php if (!empty($message)) {echo "<p class='error'>" . "MESSAGE: ". $message . "</p>";} ?>
<?php include("includes/header.php"); ?>

Во время регистрации данные о пользователе (ФИО, логин, пароль) отправляются в мою БД. Пароль пользователя в БД сохраняется в виде хеш-суммы. Также во время регистрации новому юзеру присваивается 1 уровень привилегий, в последующем его может изменить админ в таблице БД. В зависимости от уровня привилегий юзера выводит на приветственную страницу с которой позже происходит (или не происходит в случае если пользователь забанен) редирект на нужную страницу. Для привилегий я прописал три уровня, 1 - новый юзер, 2 - юзер получивший одобрение админа, и 0 - это забаненый юзер.

Добавлено через 2 минуты
По надобности можно также добавить поле для ввода электронной почты юзера, предварительно добавив соответствующее поле на странице регистрации и в таблице БД.

@AlexNewaro · 18.12.2019, 15:04

End_less,
Подозреваю какие статьи читали.
И не все старое - плохо

Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем).
По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос

@End_less · 22.12.2019, 09:55 **[ТС]**

Сообщение от AlexNewaro

Подозреваю какие статьи читали.
И не все старое - плохо
Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем).
По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос

Ну это я могу сделать, вот только она и в правда будет надежной?
Если так, то отлично. Думал что нужно будет писать огромный код от всяких sql-инъекции и т.д.

@tarasalk · 22.12.2019, 10:30

Так-то способов взлома очень много и постоянно придумывают что-то новое

Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss...
Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита.

@AlexNewaro · 22.12.2019, 13:42

End_less,
огромный-то зачем? Эффективный надо бы

@End_less · 23.12.2019, 07:45 **[ТС]**

Сообщение от tarasalk

Так-то способов взлома очень много и постоянно придумывают что-то новое
Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss...
Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита.

Понял, спасибо!
Обязательно узнаю про laravel.

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@End_less 1 / 1 / 0 Регистрация: 19.04.2016 Сообщений: 71

	Как создать защищенную авторизацию на сайте 17.12.2019, 03:55. Показов 2939. Ответов 8 Метки нет (Все метки) Здравствуйте, как более можно написать защищенную авторизацию на сайт. Почитал в интернете, но там статьи за 2015 год и т.д. Можно по этапно хотя бы перечислить, то есть. * Использование PDO * Использование Session и т.д 0

@Azdeman Фрилансер 1871 / 1362 / 604 Регистрация: 12.01.2011 Сообщений: 5,470
	17.12.2019, 19:46
	Использовать token, ну и я бы использовал подготовленные запросы. 0

@AlexNewaro 63 / 34 / 8 Регистрация: 07.02.2015 Сообщений: 125
	18.12.2019, 15:04
	Сообщение было отмечено End_less как решение Решение End_less, Подозреваю какие статьи читали. И не все старое - плохо Форма ввода - отправляет пост логина и пароля, сверяет закодированный пароль с закодированным с солью паролем из базы. Если совпадают - сверяет логин. Если все ок - ставит куку закодированного пароля и логина, ставит сессию uid (например для разделённого доступа на самих страницах) и редиректит на защищённый файл админки (если ее защищаем). По нажатию кнопки выход уничтожается кука, уничтожается сессия и редирект на главную или в космос 1

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	22.12.2019, 10:30
	Так-то способов взлома очень много и постоянно придумывают что-то новое Можно погуглить: ssl, csrf, csp, различные инъекции (не только sql), xss... Чтобы не писать огромный код можно использовать фреймворк, например laravel, в нем многое идет из коробки, в том числе защита. 1

@AlexNewaro 63 / 34 / 8 Регистрация: 07.02.2015 Сообщений: 125
	22.12.2019, 13:42
	End_less, огромный-то зачем? Эффективный надо бы 1

Как создать защищенную авторизацию на сайте

Решение