Авторизация на PHP

В данной статье мы рассмотрим авторизацию посетителей. Ограничить доступ к ресурсам сайта можно несколькими способами, например, средствами web-сервера apache, создав файл .htpassw. Такой путь не всегда удобен, так как перенос файлов на другой сервер требует воссоздания .htpassw по новой, кроме того, при таком способе довольно утомительно осуществлять смену пароля. В связи с этим, разработчики часто прибегают к авторизация на php, не смотря на то, что такая защита более подвержена взлому.

В данной статье будет рассмотрен принцип подобной авторизации, и она позволит вам организовать что-то подобное на своем сайте. Отталкиваться мы будем от web-приложения Гостевая книга (на mysql), которую можно свободно загрузить из раздела downloads.

Обычно к панели администрирования (admin/index.php) доступ ограничивается средствами apache, мы же рассмотрим скрипт, позволяющий ограничить доступ при помощью php.
Хранение логина и пароля будет осуществляться в файле, так как это не требует доступа к базе данных и может быть использовано в других web-приложениях.

Теперь немного об организации защиты. Все действия на странице администрирования предполагается проводить через один файл (index.php), подавляя при этом прямые вызовы других скриптов. В этом же файле будет проверяться и логин с паролем. В основе механизма защиты будут лежать сессии, но в качестве альтернативы можно воспользоваться и cookie. Сессии являются более надёжным вариантом, так как в отличие от cookie хранятся на сервере и вероятность несанкционированного доступа к ним существенно снижена.

Замечание

Весь дальнейший код основывается на коде Гостевой книги, поэтому для удобства её следует загрузить с сайта.

auth.php

<?php 

// Данный файл всегда будит "включаться" в другие файлы 
// директивой include поэтому следует запретить его самостоятельный вызов 
// из строки запроса путём указания его имени 
// Если не определена константа in_admin – завершаем работу скрипта 
if(!defined("in_admin")) die; 

// Начинаем сессию 
session_start(); 
// Помещаем содержимое файла в массив 
$access = array(); 
$access = file("access.php"); 
// Разносим значения по переменным – пропуская первую строку файла - 0 
$login = trim($access[1]); 
$passw = trim($access[2]); 
// Проверям были ли посланы данные 
if(!empty($_post['enter'])) 
{ 
        $_session['login'] = $_post['login']; 
        $_session['passw'] = $_post['passw']; 
} 

// Если ввода не было, или они не верны 
// просим их ввести 
if(empty($_session['login']) or 
   $login != $_session['login'] or 
   $passw != $_session['passw']    ) 

{ 
   ?> 
     <a href="index.php">Вернуться в администрирование гостевой книги</a> 
     <form action=index.php method=post> 
     Логин <input class=input name=login value=""> 
     Пароль <input class=input name=passw value=""> 
     <input type=hidden name=enter value=yes> 
     <input class=button type=submit value="Вход"> 
   <?php 
   die; 
} 
?>

Файл с логином и паролем access.php имеет следующую структуру:

<?php die; ?> 
admin 
passw 

Замечание

Для осуществления более надёжной защиты пароль и логин можно подвергнуть необратимому шифрованию при помощи функции md5()

Обратите внимание, при обращении к файлу из окна браузера работа скрипта будет остановлена в первой строке функцией die(), не позволяя вывести логин (admin) и пароль (passw) в окно браузера.

Теперь следует создать управляющий файл, через который мы будем получать доступ ко всем остальным файлом системы администрирования. Переименуйте файл index.php в main.php в директории admin гостевой книги и создайте новый файл index.php со следующим содержанием.

<?php 

// Указываем что данный файл главный, 
// определяя константу in_admin, так как 
// нигде больше эта константа не определяется, 
// но везде проверяется её существование, работать 
// с панелью администрирования можно только 
// через файл index.php 
define("in_admin", true); 

// Проверяем права доступа 
include "auth.php"; 

// Получаем параметр op из url 
$op = $_get['op']; 

// Выбираем нужное нам действие 
switch ($op) 
{ 
        case 'main' : include "main.php"; break; 
        case 'delp' : include "delpost.php"; break; 
        case 'editform' : include "editcommentform.php"; break; 
        case 'edit' : include "editcomment.php"; break; 
        case 'hide' : include "hide.php"; break; 
        case 'show' : include "show.php"; break; 
        default :  include "main.php"; 
} 
?>

Осталось немного. Теперь следует запретить доступ к остальным скриптам, от прямого вызова. Для этого необходимо в начало каждого файла (за исключением нового index.php) осуществить проверку константы in_admin.

<?php 
  if(!defined("in_admin")) die; 
?>

Вот собственно и весь принцип. Но гостевая не работает? Все верно, следует поменять еще пару строк, а именно, все ссылки заменить на вызов файла index.php, передав ему соответствующий параметр op. tе кто не скачивал скрипт гостевой, могут пропустить следующие шаги. Файл main.php (бывший index.php) - следует поменять ссылки в строках (около) 35 и 36 на:

<?php 
if(!$guest['hide']) $showhide = "<a class='menu' href=index.php?op=hide&id_msg=".$guest['id_msg']."&start=$start title='Скрыть сообщение из списка выводимых на сайте'>Скрыть сообщение</a>"; 
?>

а строки с 63 по 70 заменить на:

<?php 
  echo "<p class='menu'><a class='menu' href=index.php?op=editform&id_msg=".$guest['id_msg']."&start=$start title='Редактировать сообщение'>Редактировать</a>"; 
      // Ссылка на правку сообщений 
      echo "&nbsp;&nbsp;".$showhide; 
      // Ссылка на удаление сообщений 
      echo "&nbsp;&nbsp;<a class='menu' href=index.php?op=delp&id_msg=".$guest['id_msg']."&start=$start title='Удалить сообщение'>Удалить сообщение</a>"; 
      echo "</p>"; 
?> 

Файл editcommentform.php. Следует заменить строку (около) 29 на:

<form action=index.php?op=edit method=post>

Все. Гостевая с закрытой панелью администрирования готова. Не забудьте изменить файл access.php, выставив в нём логин и пароль помудрее :) Конечно подобная система не может претендовать на серьезную защиту, но на первое время этого должно хватить, и позднее вы сами сможете ее улучшить. При использовании базы данных, возможности подобной авторизации можно легко расширить, создав несколько логинов для, если администрированием занимается более чем один человек.

Источник: http://www.softtime.ru/info/index.php