Проверка на администратора

@Sonax · Регистрация: 13.10.2010

Студворк — интернет-сервис помощи студентам

На данный момент я написал свой первый серьёзный проект и был бы очень благодарен, если вы бы ткнули на мои ошибки=).

И так, сайт http://realty66.org.ru.
На данный момент есть следующая проблема, которая есть только в режиме администратора. Поэтому пароль к админке 111 ( http://realty66.org.ru/admin.php ).

После того, как вы авторизовались прошу пройти в любую не пустую категорию и выбрать вариант. Внизу будет впаяный плагин Uploadify После того, как Вы выберите загружаемый файл, то он отправляет его на страницу http://realty66.org.ru/plugins... oadify.php . Содержимое этого файла:

PHP
1
2
3
4
5
6
7
<?php
include '../../../include/connect.php';
if(count($_FILES)!=0)
{
    ...
}
?>

Моё беспокойство состоит в том, что со стороны клиента, если человек в OPERA, например, введёт HTML-код загрузчика, то сможет загружать фотографии на сайт. Такие права конечно нужно ограничить. Так вот при успешной авторизации Вы получаете $_SESSION['login']='Администратор';

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
if (isset($_POST['password']) and $_POST['password'] !== $config['admin_pass']) $error_authorization="Не верный пароль!<br>";
if ($_POST['password']  == $config['admin_pass']) $_SESSION['login']='Администратор';
if(empty($_SESSION['login']))
    {
    echo "<form method='post'>
    $error_authorization
    Пароль<br>
    <input type='password' name='password'><br>
    <input type='submit' value='Войти' name='rederect_submit'>";
    }
    else 
    {
         ...
         }

Если система авторизации ненадёжна, то прошу сообщить об этом, так как придумал её сам и наверняка какие-нибудь недочёты забыл.

Пробывал и не понимал какое-то время, почему такой код в uploadify.php не работает

PHP
1
2
3
if(count($_FILES)!=0 and isset($_SESSION['login'])){...} 
//Или этот код
if(count($_FILES)!=0 and $_SESSION['login']='Администратор')

Потом про просто допёр, что плагин не передаёт мои $_SESSION данные.

Вопрос в том, как сделать проверку на администратора.

@black-eye · 13.10.2010, 19:54

Sonax, смотри:

Сначала давай админу уникальную сессию, потом записывай её в БД и потом проверяй её.

Вот примерный код:

PHP
1
2
3
4
5
6
7
8
$site_def = 'site_def'; //Для безопасности
 
// ... Тут какой-то код ...
 
$sess = uniqid(''); //Генерируем случайную сессию
$_SESSION[$site_def.'admin_sess'] = $sess; //Записываем
 
//Потом записывай в БД сессию($sess)

А вот, код проверки на админа:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
//Считываем сессию из БД и записываем в переменую $sess_from_db
 
//Далее идёт проверка на администратора
$admin = 0;
if($_SESSION[$site_def.'admin_sess'] == $sess_from_db) $admin = 1;
 
 
 
if($admin==1)
{
echo 'Вы администратор!';
}
else
{
echo 'Вам нечего тут делать!';
}

@Sonax · 13.10.2010, 22:52 **[ТС]**

Я думал над подобным, но в таком случае любой человек сможет пользоваться загрузчиком в тот момент, когда администратор авторизирован. То есть, например, админ зашёл, авторизировался и гуляет по сайту, теперь возможность у хакера пользоваться загрузчиком. Но за идею и участие спасибо.

Я думаю как-нибудь может можно сделать, что бы авторизацию передавал этот плагин... Хотя со стороны клиента можно подделать все эти данные. Чёрт вообщем знает как, но нужно сделать.

@black-eye · 13.10.2010, 23:05

Ну смотри, я тебе просто подал идею как это реализовать, а так можно этот же скрипт усложнить.
Допустим эта сессия стирается по истечению определённого кол-ва времени. + можно добавить уникальную сессию, для браузера, зашифрованную под

PHP
1
sha1('ИП клиента:кукис допустим');

Я тебе в принципе идею подал, реализовать надеюсь сам сможешь или же мне тебе помочь?

@Sonax · 14.10.2010, 01:30 **[ТС]**

Всё, сделал, только вопрос, как мне теперь через 30 минут, скажем обнулить в БД данные?

@black-eye · 14.10.2010, 08:22

А ты записывай время обнуления сессии в БД.

PHP
1
$time_sess_end = time()+60*30;

А потом просто проверяй:

PHP
1
if(time()>$time_sess_end) echo 'Конец сессии.';

@ostgals · 14.10.2010, 11:33

Сообщение от Sonax

Пробывал и не понимал какое-то время, почему такой код в uploadify.php не работает

PHP
1
if (count($_FILES) != 0 and $_SESSION['login'] == 'Администратор')

Оно и не должно работать. Переменная $_SESSION будет пустая если вы не открыли сессию.
Перед проверкой обязательно следует вставить session_start(); (прямо в uploadify.php)

PHP
1
2
session_start();
if (count($_FILES) != 0 and $_SESSION['login'] == 'Администратор')

Добавлено через 1 минуту
А вариант с записью сессии в БД - это уже извращение.

@black-eye · 14.10.2010, 13:53

Сообщение от ostgals

А вариант с записью сессии в БД - это уже извращение.

Кому как

@Sonax · 14.10.2010, 18:45 **[ТС]**

ostgals, там сессион старт в connect.php прописан, его я во все файлы инклужу.

@black-eye · 14.10.2010, 21:48

Сообщение от Sonax

его я во все файлы инклужу.

Зачем?! Надо только в один. Возможно в этом и была проблема.

@Sonax · 14.10.2010, 23:26 **[ТС]**

во всех файлах пишу

PHP
1
include 'connect.php';

@ostgals · 15.10.2010, 09:56

Сообщение от Sonax

ostgals, там сессион старт в connect.php прописан, его я во все файлы инклужу.

Приложите архивчик с примером, воспроизводящим проблему - попробуем разобраться.

@Sonax · 15.10.2010, 12:16 **[ТС]**

Да я уже разобрался с этим=) Всем спасибо=)

Новые блоги и статьи Все статьи Все блоги /
изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@Sonax 350 / 76 / 10 Регистрация: 13.10.2010 Сообщений: 830
	13.10.2010, 22:52 [ТС]
	Я думал над подобным, но в таком случае любой человек сможет пользоваться загрузчиком в тот момент, когда администратор авторизирован. То есть, например, админ зашёл, авторизировался и гуляет по сайту, теперь возможность у хакера пользоваться загрузчиком. Но за идею и участие спасибо. Я думаю как-нибудь может можно сделать, что бы авторизацию передавал этот плагин... Хотя со стороны клиента можно подделать все эти данные. Чёрт вообщем знает как, но нужно сделать. 0

@Sonax 350 / 76 / 10 Регистрация: 13.10.2010 Сообщений: 830
	14.10.2010, 01:30 [ТС]
	Всё, сделал, только вопрос, как мне теперь через 30 минут, скажем обнулить в БД данные? 0

@Sonax 350 / 76 / 10 Регистрация: 13.10.2010 Сообщений: 830
	14.10.2010, 18:45 [ТС]
	ostgals, там сессион старт в connect.php прописан, его я во все файлы инклужу. 0

@Sonax 350 / 76 / 10 Регистрация: 13.10.2010 Сообщений: 830
	15.10.2010, 12:16 [ТС]
	Да я уже разобрался с этим=) Всем спасибо=) 0