Zdravím všetkých. Skúšam 265-ku (je super), ale narazil som na jeden problém s prístupom k databáze.
Jedným jednoduchým "scriptíkom" - privátne:) zapisujem a čítam dáta z databázy, (taký primitívny privátny telefónny zoznam a kontakty).
Lenže pri spustený pod 265-kou mi to hlási - Nepovoleny pristup! / Hacking attempt!

Po úprave v config.php a zaremovaní:

//if (!defined('IN_CODE')): die('Nepovoleny pristup! / Hacking attempt!'); endif;

to FUNGUJE,

ale chcel by som k databáze pristupovať korektne.
Prosím o INFO ohľadom 'IN_CODE'

Ďakujem

Definuj si tú konštantu na začiatku svojho scriptu:
define('IN_CODE',true); // inic. ochranne konstanty

Je to taká nežná antihack ochrana pred includovaním config.php z cudzieho scriptu ;)

Ďakujem Pa3k.
Dalo by sa takýmto nejakým spôsobom (cez obdobnú premennú) zabrániť SPUSTENIU SCRIPTU ?

Vstupné pole=HESLO, ak vieš, pustí script, ak nevieš NEPUSTÍ SCRIPT.
Ďakujem pekne.

Samozrejme, pozri ako to rieši admin.html ==> admin.php, ja k tomu ešte pridávam SSL, pretože istota je istota, čím viac tým lepšie :-) Takže admin.html volám cez https

Pa3k, admin.html to načíta do premenných:
name="rsnewuser"
name="rsnewpass" ,

ale nikde nevidím s čím tie hodnoty premenných porovnáva, a kde v admin.php je script ktorý nedovolí spustiť admin.php priamo.
Pa3k nakopni ma som z toho pako.
Vďaka.

steve64 napsal/a:
-------------------------------------------------------
> Vstupné pole=HESLO, ak vieš, pustí script, ak nevieš NEPUSTÍ SCRIPT.

interval server a hledej autorizaci...
I kdyz s tim spustenim scriptu, no nevim. Vetsinou se to na urovni serveru blokuje prave kvuli tomu, aby tohle neslo. Protoze heslo se da ziskat ruznymi zpusoby (slovnik, brutalatack, atd..) a to by nebylo dobre. Sice spousta domen je v chrootu, ale i tak je to pomerne nebezpecne. Utoku z internetu je stale mnoho.

Takzena automatizaci je lepe zapomenout..:-D

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Podobným spôsobom, myslíš ako? Porovnaním hesla zo vstupu s konštantou v scripte? Neviem či je to rozumné riešenie, ale ako potencionálny hacker :-] vidím slabinu napríklad v tom, že pri výpadku php modulu Apache servera sa zobrazí priamo obsah scriptu a heslo je prelomené :) samozrejme dá sa tomu zabrániť, sú na to serverové funkcie, ktoré php ukladajú zakódované a pred samotným spustením scriptu ho dekódujú (neviem názov ale je to niečo od ZEND).

O bezpečnosti je toho na nete naozaj veľa. Ja ako php beginer, by som použil radšej hotové riešenie z renomovaného zdroja, (alebo modul z phpRS :) pretože malá chybička môže byť nakoniec obrovská bezpečnostná diera. V princípe to ale možné je. Keby to mám riešenie vypotiť hneď tak by som to robil asi takto:
Hash hesla bude v db, skript ho porovná s hashom hesla zo vstupu a v prípade rovnosti jednorázovo niečo vykoná. Ak by to malo byť vrvalejšie spojenie tak to riešia pomocou session id, cookies a neviem ešte ako. Ak máš možnosť použi SSL. Ešte by som doporučil vyrobiť nejakú obmedzovaciu podmienku na počet pokusov prihlásenia, aby to zlý haXori nelámali hrubou silou - scriptami z iných serverov :)