Можно ли защитить паролем страницу без доступа к БД? У меня может быть всего несколько страниц. Но я должен иметь возможность менять пароль, а также сохранять сеансы и т. Д. И мне нужен безопасный способ, как для производственного сайта!
Как его сохранить в config.php после md5:
<?php
username="admin";
password="1a1dc91c907325c69271ddf0c944bc72";
?>
Если это хорошая идея, есть ли способ ограничить доступ к этому php только одним скриптом с именем check.php или чем-то еще?
Конечно, а почему бы и нет? Вы можете использовать плоские файлы в недоступном каталоге (защищенном .htaccess или вне корня www) и использовать его в качестве базы данных.
Вот простой класс входа, который я придумал:
class SimpleLogin {
private $users;
private $db = './pass.txt';
function __construct() {
$data = file_get_contents($this->db);
if (!$data) {
die('Can\'t open db');
} else {
$this->users = unserialize($data);
}
}
function save() {
if (file_put_contents($this->db, serialize($this->users)) === false)
die('Couldn\'t save data');
}
function authenticate($user, $password) {
return $this->users[$user] == $this->hash($password);
}
function addUser($user, $password) {
$this->users[$user] = $this->hash($password);
$this->save();
}
function removeUser($user) {
unset($this->users[$user]);
$this->save();
}
function userExists($user) {
return array_key_exists($user, $this->users);
}
function userList() {
return array_keys($this->users);
}
// you can change the hash function and salt here
function hash($password) {
$salt = 'jafo2ijr02jfsau02!)U(jf';
return sha1($password . $salt);
}
}
ПРИМЕЧАНИЕ. Вам действительно следует отключить отчеты об ошибках, если вы собираетесь использовать это на реальном сервере. Это можно сделать, вызвав error_reporting () или добавив '@ 'перед file_get_contents и file_put_contents (то есть: так оно превращается в @file_get_contents)
Пример использования: http://left4churr.com/login/
a:0:{}
- person NullUserException; 04.08.2010
Для этого вы должны использовать .htaccess. Вы также можете защитить .htaccess свои разумные php-файлы, например:
Order Allow,Deny
Deny from All
Вы можете использовать HTTP-аутентификацию с PHP. Очень хорошие примеры представлены в PHP-документации.
На самом деле база данных не имеет ничего общего с защитой паролем.
вы можете записать логин и пароль прямо в свой скрипт, а также сохранить их в базе данных.
Нет необходимости ограничивать доступ к вашему php файлу. При вызове по HTTP это будет просто пустая страница и ничего более.
Так что можно хранить в таком виде.
Достаточно для сайта, который даже не использует базу данных.
