админка

@little_dita · Регистрация: 12.08.2011

Студворк — интернет-сервис помощи студентам

вот набросала тут админку

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
<?php
session_start();
//Поключаем конфиг
include("config.php");
 
//Необходимо подключиться к БД
$link = mysql_connect($dblocation, $dbuser, $dbpasswd)
or die("Не могу подключиться" );
// сделать $DB текущей базой данных
mysql_select_db($dbname, $link) or die ('Не могу выбрать БД');
 
//Если нет сессий
if(md5(crypt($_SESSION['user'],$_SESSION['password'])) != $_SESSION['SID']) {
 //Если кнопка не нажата, отображаем форму
if(!$_POST['do']){
 
echo '
<a href="registration.php">регистрация</a> <br/><br/>
<form name="1" action="" method="post">
     <input name="login" type="text" value=""> <br/>
     <input name="password" type="password" value="">  <br/>
     <input name="do" type="submit" value="Войти">
</form>';
 
}
//Если кнопка нажата
if($_POST['do']) {
//Проверяем данные
$login = $_POST['login'];
$upass = $_POST['password'];
if($login !='' AND $upass !='') {
//Создаем запрос
$q1=mysql_query("SELECT * FROM users WHERE nick='".$login."' AND password='".md5($upass)."' AND status=1");
 
//Проверяем существует ли хоть одна запись
if(mysql_num_rows($q1)===1) {
//Если есть, то создаем сессии и перенаправляем на эту страницу
$r=mysql_fetch_array($q1);
$_SESSION['user'] = $r['nick'];
$_SESSION['password'] = $r['password'];
 
$_SESSION['SID'] = md5(crypt($r['nick'],$r['password']));
 
@Header("Location: index.php");
}
else {echo 'Неверный логин/пароль; Возможно Ваш аккаунт не активирован';}
}
}
else {echo 'Введите данные';}
}
else {
 
   $q2 = @mysql_query("SELECT * FROM users WHERE nick='".$_SESSION['user']."' AND password='".$_SESSION['password']."' AND status=1");
if(@mysql_num_rows($q2)==1){
   $r2 = @mysql_fetch_array($q2);
 ?>  
   <right><?php echo 'Здравствуйте '.ucfirst($r2['nick']).'<span style="padding:0px 10px;">';?>
<? echo '<a href="index.php?exit=1">выход</a>';?></right>
 <?  
if($_GET['page'] !='') {
@include("tpl/".$_GET['page'].".php");
}
else { @include("privetstvie.php");}
 
}
   }
  if($_GET['exit']) {@session_destroy(); unset($_GET['exit']); mysql_close($link);   @Header("Location: index.php");}
?>

работает так захожу site.com/admin/
показывается форма входа ввожу данные и открывзется то что вы видите
вопрос такой как защитить другие страницы админки?
или это можно только если везде этот большой код вставлять?

__PION__ · 18.11.2011, 12:25

Сообщение от little_dita

и всеравно открывает

у тя уже сессия есть, так как ты уже входила в админку.
или сделай при выходе смерть всем сессиям, либо перезапусти браузер.
можно еще и в самом браузе убить PHPSESSID

@Sulik78 · 18.11.2011, 12:26

little_dita, значит ADMIN = true
дайте весь код который у Вас сейчас

@little_dita · 18.11.2011, 12:32 **[ТС]**

Сообщение от Sulik78

little_dita, значит ADMIN = true
дайте весь код который у Вас сейчас

index.php

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
<?php
session_start();
//Поключаем конфиг
include("config.php");
 
//Необходимо подключиться к БД
$link = mysql_connect($dblocation, $dbuser, $dbpasswd)
or die("Не могу подключиться" );
// сделать $DB текущей базой данных
mysql_select_db($dbname, $link) or die ('Не могу выбрать БД');
 
//Если нет сессий
if(md5(crypt($_SESSION['user'],$_SESSION['password'])) != $_SESSION['SID']) {
 //Если кнопка не нажата, отображаем форму
if(!$_POST['do']){
 
echo '
<a href="registration.php">регистрация</a> <br/><br/>
<form name="1" action="" method="post">
     <input name="login" type="text" value=""> <br/>
     <input name="password" type="password" value="">  <br/>
     <input name="do" type="submit" value="Войти">
</form>';
 
}
//Если кнопка нажата
if($_POST['do']) {
//Проверяем данные
//если нет сессии если есть и она проверку прошла то можно сразу define('ADMIN', true);
$login = !empty($_POST['login']) ? mysql_real_escape_string($_POST['login']) : false;
$upass = !empty($_POST['password']) ? md5($_POST['password']) : false;
if($login && $upass) {
//Создаем запрос
$q1=mysql_query("SELECT COUNT(*) AS admin FROM users WHERE nick='".$login."' AND password='".$upass."' AND status=1");
 $r1 = mysql_fetch_assoc($q1);
 define("ADMIN", (bool)$r['admin']);
 if(ADMIN)
 {
$_SESSION['user'] = $r['nick'];
$_SESSION['password'] = $r['password'];
 
$_SESSION['SID'] = md5(crypt($r['nick'],$r['password']));
 
@Header("Location: index.php");
}
else {echo 'Неверный логин/пароль; Возможно Ваш аккаунт не активирован';}
}
}
else {echo 'Введите данные';}
}
else {
 
   $q2 = @mysql_query("SELECT * FROM users WHERE nick='".$_SESSION['user']."' AND password='".$_SESSION['password']."' AND status=1");
if(@mysql_num_rows($q2)==1){
   $r2 = @mysql_fetch_array($q2);
 ?>  
   <right><?php echo 'Здравствуйте '.ucfirst($r2['nick']).'<span style="padding:0px 10px;">';?>
<? echo '<a href="index.php?exit=1">выход</a>';?></right>
 <?  
if($_GET['page'] !='') {
@include("tpl/".$_GET['page'].".php");
}
else { @include("privetstvie.php");}
 
}
   }
  if($_GET['exit']) {@session_destroy(); unset($_GET['exit']); mysql_close($link);   @Header("Location: index.php");}
?>

файл который защищаю

PHP
1
2
3
4
5
6
7
8
9
10
11
12
<?php
if (!ADMIN)
{
  exit('ошибка');           
}
?>
<?php $titlepage =  "Редактирование/";?>
<?php include("header.php");?>  
<?php include("util/sitebar.php");?>  
    <h1><center>Здравствуйте, вы находитесь в редактировании ..</center></h1>
 
  <?php include("footer.php");?>

__PION__ · 18.11.2011, 12:36

Сообщение от little_dita

if (!ADMIN) { exit('ошибка'); }

не правильно,
ведь файл который ты защищаешь не знает о существовании константы ADMIN, сессию надо проверять в остальных файлах

@little_dita · 18.11.2011, 13:09 **[ТС]**

Сообщение от Love_and_Peace

не правильно,
ведь файл который ты защищаешь не знает о существовании константы ADMIN, сессию надо проверять в остальных файлах

файл index.php k нему подключить?

Добавлено через 30 минут
Love_and_Peace,
t.e весь файл опять вставлять в мой файл?

__PION__ · 18.11.2011, 13:50

Сообщение от little_dita

t.e весь файл опять вставлять в мой файл?

нет же.
на странице входа создаешь сессию какую-нибудь
а на остальных страницах (файлах) запускаешь сессию и проверяешь есть ли у тя такая

PHP
1
2
3
4
5
6
session_start();
if (!isset($_SESSION['SID']))
{
   header('Location: index.php');
   die();
}

это должно работать, не пойму в чем проблема

@Sulik78 · 18.11.2011, 14:32

Сообщение от little_dita

файл index.php k нему подключить?

вынесите проверку в отдельный файл и подключайте его в каждом файле

@forgergg · 18.11.2011, 16:12

SQL
1
SELECT COUNT(*) AS admin FROM users WHERE nick='".$login."' AND password='".$upass."' AND STATUS=1

Статус == 1 - сигнатура админа или активации акка ?

PHP
1
define("ADMIN", (bool)$r['admin']);

В сессию можно занести.

PHP
1
$_SESSION['ADMIN'] = (bool)$r['admin'];

PHP
1
2
3
4
5
6
session_start();
if (!$_SESSION['ADMIN']) //Если не админ и если не инициализирована переменная
{
   header('Location: index.php');
   die();
}

И не надо никакие файлы подключать и лезть в базу лишний раз.

Добавлено через 14 минут
И не обязательно хеш ника и пароля в сессию заносить, можно и флажком login обойтись в базе.

PHP
1
2
3
4
5
6
7
8
$q1=mysql_query("SELECT COUNT(*) AS admin FROM users WHERE nick='".$login."' AND password='".$upass."' AND status=1");
$r1 = mysql_fetch_assoc($q1);
define("ADMIN", (bool)$r['admin']);
if(ADMIN)
{
$_SESSION['user'] = $r['nick'];
$_SESSION['password'] = $r['password'];
$_SESSION['SID'] = md5(crypt($r['nick'],$r['password']));

тут тоже интересно. Заносите выборку из базы в $r1, а значения берете из неопределенного массива $r

Добавлено через 3 минуты
А еще интереснее то, что при такой выборке

SQL
1
SELECT COUNT(*) AS admin FROM users WHERE nick='".$login."' AND password='".$upass."' AND STATUS=1

Никаких ников и паролей в ней не будет.

PHP
1
2
3
$_SESSION['user'] = $r['nick'];
$_SESSION['password'] = $r['password'];
$_SESSION['SID'] = md5(crypt($r['nick'],$r['password']));

Поэтому SID будет хешем пустой строки.

@little_dita · 18.11.2011, 20:30 **[ТС]**

Сообщение от Sulik78

вынесите проверку в отдельный файл и подключайте его в каждом файле

сделала файл proverka.php

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
session_start();
//Поключаем конфиг
include("config.php");
 
//Необходимо подключиться к БД
$link = mysql_connect($dblocation, $dbuser, $dbpasswd)
or die("Не могу подключиться" );
// сделать $DB текущей базой данных
mysql_select_db($dbname, $link) or die ('Не могу выбрать БД');
 
//Если нет сессий
if(md5(crypt($_SESSION['user'],$_SESSION['password'])) != $_SESSION['SID']) {
echo 'вы не вошли в админку';
 
   $q2 = @mysql_query("SELECT * FROM users WHERE nick='".$_SESSION['user']."' AND password='".$_SESSION['password']."' AND status=1");
if(@mysql_num_rows($q2)==1){
   $r2 = @mysql_fetch_array($q2);
 ?>  
   <right><?php echo 'Здравствуйте '.ucfirst($r2['nick']).'<span style="padding:0px 10px;">';?>
<? echo '<a href="index.php?exit=1">выход</a>';?></right>
 <?  
if($_GET['page'] !='') {
@include("tpl/".$_GET['page'].".php");
}
 
}
   }
  if($_GET['exit']) {@session_destroy(); unset($_GET['exit']); mysql_close($link);   @Header("Location: index.php");}
?>

что в ней не так?

@valera_21 · 18.11.2011, 21:30

а если вот так?
session_check.php

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
function session_check()
{
    session_start();
    if(isset($_SESSION['user'])) 
    {
                return TRUE;
    }
    else 
    {
        header("Location: http://".$_SERVER['SERVER_NAME']."/login.php");
        return FALSE;
    }
}
?>

и проверку

PHP
1
2
3
4
5
6
7
8
9
10
11
...
if(session_check() && другие проверки(если есть))
{
    // 
 
}
else
{
    echo "<h2>У вас недостаточно прав для просмотра страницы.</h2>";
    echo "<a href=http://".$_SERVER['SERVER_NAME']."/index.php>Нажмите сюда для перехода на главную</a>";
}

@forgergg · 18.11.2011, 21:43

Сообщение от little_dita

что в ней не так?

Вы сами то хоть поняли, что сейчас сделали ?) Вам нужно сделать так, что бы пользователи, у которых нет прав админа, не могли заходить на странички админки ?
Вам надо написать в файле ТОЛЬКО проверку:
Если текущий пользователь не является админом
То переадресовываем на начальную страницу
Иначе ничего не делаем.
Для того, что бы проверить является ли пользователь админом надо реализовывать систему привилегий пользователей. Самый простой вариант хранить в таблице флаг админ/пользователь.
Когда пользователь логинится, занести в сессию флаг и другие параметры. В остальных файлах админки проверять установлен ли флаг админа в сессии. Если нет или если пользователь не залогинен, то отправляем его на главную страницу/форму регистрации. И да, надо еще в базу добавить флаг залогинен/не залогинен и перенаправлять на главную с формы входа, если залогинен. Все.
Вариант посложнее : Создать таблицу, где связать id пользователя c id привилегии. В самом коде проверять какой уровень привилегий у пользователя и исходя из этого разрешать/запрещать делать что-либо. Пример такой реализации можно посмотреть в фреймворке кохана.

@Maksimchikfull · 19.11.2011, 00:40

Мне лень было всё читать. Думаю самое простое если будет некая БД, в которой хранятся пользователи у которых(на пример) такие поля:
id
date
admin
login
pass

Пользователь ходит по всему сайту с сессией ID которая содержит ид пользователя. Можно добавить сессию ADMIN в которой будет хранится значение админа(0 или 1).

Если к примеру не использовать сессию ADMIN, то придётся всё время делать выборку из БД на проверку админки, это лишняя нагрузка только.

Если admin 0, то выкидует с админки на обычную страницу, иначе ничего не делает и продолжает свою работу.

Вот код который накалякал прям на форуме, работо-способность не гарантирую, потому что мог ошибки наляпать:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
session_start();
$login = "admin";
$pass = "admin";
 
$row = mysql_fetch_array(mysql_query("SELECT `id`,`admin` FROM `users` WHERE `login` = '$login' AND `pass` = '$pass'"));
 
if($row['id'] != ""){
$_SESSION['ID'] = $row['id'];
$_SESSION['ADMIN'] = $row['admin'];
}
else{
// Неверный логин/пароль
}
 
// Страница админки
// Без сессии ADMIN
if($_SESSION['ID'] != ""){
$row = mysql_fetch_array(mysql_query("SELECT `admin` FROM `users` WHERE `id` = '$_SESSION[ID]'"));
if($row['admin'] == 1){
// Продолжаем работу страницы
}
else{
// Выкидываем на обычную страницу
}
}
 
// С сессией ADMIN
if($_SESSION['ID'] != ""){
if($_SESSION['ADMIN'] == 1){
// Продолжаем
}
else{
// Выкидываем
}
}
?>

Очень просто!

Новые блоги и статьи Все статьи Все блоги /
Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .

@Sulik78 450 / 203 / 27 Регистрация: 23.12.2010 Сообщений: 645
	18.11.2011, 12:26
	little_dita, значит ADMIN = true дайте весь код который у Вас сейчас 0