Авторизация на PHP
Автор: IT-студия SoftTime (softtime.ru)
В данной статье мы рассмотрим авторизацию посетителей.
Ограничить доступ к ресурсам сайта можно несколькими способами, например,
средствами Web-сервера Apache, создав файл .htpassw. Такой путь не всегда
удобен, так как перенос файлов на другой сервер требует воссоздания
.htpassw по новой, кроме того, при таком способе довольно утомительно
осуществлять смену пароля. В связи с этим, разработчики часто прибегают к
авторизация на PHP, не смотря на то, что такая защита более подвержена
взлому.
В данной статье будет рассмотрен принцип подобной
авторизации, и она позволит вам организовать что-то подобное на своем
сайте. Отталкиваться мы будем от Web-приложения Гостевая книга (на MySQL),
которую можно загрузить здесь.
Обычно к панели администрирования (admin/index.php)
доступ ограничивается средствами Apache, мы же рассмотрим скрипт,
позволяющий ограничить доступ при помощью PHP.
Хранение логина и пароля
будет осуществляться в файле, так как это не требует доступа к базе данных
и может быть использовано в других Web-приложениях.
Теперь немного об организации защиты. Все действия на
странице администрирования предполагается проводить через один файл
(index.php), подавляя при этом прямые вызовы других скриптов. В этом же
файле будет проверяться и логин с паролем. В основе механизма защиты будут
лежать сессии, но в качестве альтернативы можно воспользоваться и cookie.
Сессии являются более надёжным вариантом, так как в отличие от cookie
хранятся на сервере и вероятность несанкционированного доступа к ним
существенно снижена.
Замечание
Весь дальнейший код основывается на коде Гостевой книги,
поэтому для удобства её следует загрузить с сайта.
auth.php
<?php
// Данный файл всегда будит
"включаться" в другие файлы
// директивой include поэтому следует
запретить его самостоятельный вызов
// из строки запроса путём
указания его имени
// Если не определена константа IN_ADMIN –
завершаем работу скрипта
if(!defined("IN_ADMIN")) die;
// Начинаем сессию
session_start();
// Помещаем содержимое файла в массив
$access = array();
$access = file("access.php");
// Разносим значения по переменным – пропуская первую строку
файла - 0
$login = trim($access[1]);
$passw = trim($access[2]);
// Проверям были ли посланы данные
if(!empty($_POST['enter']))
{
$_SESSION['login'] = $_POST['login'];
$_SESSION['passw'] = $_POST['passw'];
}
// Если ввода не было, или они не верны
// просим их ввести
if(empty($_SESSION['login']) or
$login != $_SESSION['login'] or
$passw != $_SESSION['passw'] )
{
?>
<a href="index.php">Вернуться в
администрирование гостевой книги</a>
<form action=index.php
method=post>
Логин <input
class=input name=login value="">
Пароль <input class=input name=passw
value="">
<input type=hidden
name=enter value=yes>
<input
class=button type=submit value="Вход">
<?php
die;
}
?>
Файл с логином и паролем access.php имеет следующую
структуру:
<?php die; ?>
admin
passw
Замечание
Для осуществления более надёжной защиты пароль и логин
можно подвергнуть необратимому шифрованию при помощи функции md5()
Обратите внимание, при обращении к файлу из окна браузера
работа скрипта будет остановлена в первой строке функцией die(), не
позволяя вывести логин (admin) и пароль (passw) в окно браузера.
Теперь следует создать управляющий файл, через который мы
будем получать доступ ко всем остальным файлом системы администрирования.
Переименуйте файл index.php в main.php в директории admin гостевой книги и
создайте новый файл index.php со следующим содержанием.
<?php
// Указываем что данный файл главный,
// определяя константу IN_ADMIN, так как
// нигде больше эта
константа не определяется,
// но везде проверяется её существование,
работать
// с панелью администрирования можно только
// через файл
index.php
define("IN_ADMIN", TRUE);
// Проверяем права
доступа
include "auth.php";
// Получаем параметр op из URL
$op = $_GET['op'];
// Выбираем нужное нам действие
switch ($op)
{
case 'main' : include "main.php"; break;
case 'delp' : include "delpost.php"; break;
case 'editform' : include "editcommentform.php"; break;
case 'edit' : include "editcomment.php"; break;
case 'hide' : include "hide.php"; break;
case 'show' : include "show.php"; break;
default
: include "main.php";
}
?>
Осталось немного. Теперь следует запретить доступ к
остальным скриптам, от прямого вызова. Для этого необходимо в начало
каждого файла (за исключением нового index.php) осуществить проверку
константы IN_ADMIN.
<?php
if(!defined("IN_ADMIN")) die;
?>
Вот собственно и весь принцип. Но гостевая не работает?
Все верно, следует поменять еще пару строк, а именно, все ссылки заменить
на вызов файла index.php, передав ему соответствующий параметр op. Tе кто
не скачивал скрипт гостевой, могут пропустить следующие шаги. Файл
main.php (бывший index.php) - следует поменять ссылки в строках (около) 35
и 36 на:
<?php
if(!$guest['hide']) $showhide = "<a class='menu'
href=index.php?op=hide&id_msg=".$guest['id_msg']."&start=$start
title='Скрыть сообщение из списка выводимых на сайте'>Скрыть
сообщение</a>";
?>
а строки с 63 по 70 заменить на:
<?php
echo "<p class='menu'><a class='menu'
href=index.php?op=editform&id_msg=".$guest['id_msg']."&start=$start
title='Редактировать сообщение'>Редактировать</a>";
// Ссылка на правку сообщений
echo " ".$showhide;
// Ссылка на удаление сообщений
echo " <a class='menu'
href=index.php?op=delp&id_msg=".$guest['id_msg']."&start=$start
title='Удалить сообщение'>Удалить сообщение</a>";
echo "</p>";
?>
Файл editcommentform.php. Следует заменить строку (около)
29 на:
<form
action=index.php?op=edit method=post>
Все. Гостевая с закрытой панелью администрирования
готова. Не забудьте изменить файл access.php, выставив в нём логин и
пароль помудрее :) Конечно подобная система не может претендовать на
серьезную защиту, но на первое время этого должно хватить, и позднее вы
сами сможете ее улучшить. При использовании базы данных, возможности
подобной авторизации можно легко расширить, создав несколько логинов для,
если администрированием занимается более чем один человек.
