Пароль для странички на сайте, как реализовывается?

Question

[Ingernirated]

Подскажите, как на сайте сделать страницу, которая будет пускать на неё только при подтверждения пароля?
А точнее, как осуществить проверку пароля в пхп, который хранится не в базе данных?

Answer 1

[xmoonlight]

Файл auth.php:

$pass='mYMeGaPaSsW0rD';
session_start();
if (!isset($_SESSION['isUser']) && $_POST['password']!==$pass) exit; 
else $_SESSION['isUser']=true;
header("Location: ".$_SERVER['DOCUMENT_REFERER']);

и в HTML-разметке страницы (например, login.php), форму:

<form action="auth.php" method="POST">
Пароль: <input type="password" name="password" /><br />
<input type="submit" value="Войти" />
</form>

и на любой странице в начале прописать:

session_start();
if ($_SESSION['isUser']!==true) header("Location: login.php");
//а здесь - инфа, которая будет доступна только с введённым паролем

Comments

[Ingernirated]

это пароль невозможно же будет увидеть или как-нибудь узнать, который мы в пхп коде создаем?

[xmoonlight]

Ingernirated: если нет доступа к просмотру содержимого PHP-файла (а при нормальных условиях - его нет) - то невозможно.

[Ingernirated]

xmoonlight: нормальные условия это какие?

[xmoonlight]

Ingernirated:
1. Никто не получил несанкционированный доступ к файловой системе Вашего сервера.
2. Вся серверная среда окружения настроена и функционирует в штатном режиме (как и все 99.9% сайтов в интернете).

Answer 2

[Daemon23RUS]

для реализации на PHP потребуется
1) сессионная переменная

session_start();
$_SESSION["logined"]= ......

2) обработка post или get запроса от формы ввода пароля
3) минимальная логика если сессионная переменная - не установлена -> установить false
если post запрос с логином-паролем - сравнить с хранимым "гдето" значением -совпало -> сессионная переменная = true
если сессионная переменная - false -> перенаправить на форму ввода пароля, true - > отдать страницу
P.S. есть альтернатива: например для apache разместить .htaccess примерно такого содержимого

AuthUserFile /var/.......... (тут путь к файлу с логинами - паролями)
AuthName "Demo login" 
AuthType Basic
require valid-user

Comments

[Ingernirated]

т.е. создать json файл и в нём хранить логины и пароли?

[Daemon23RUS]

Ingernirated: Все гораздо интересней, логины хранятся в открытом виде, а пароли - зашифрованы, т.е даже если произойдет утечка этого файла, пароля в открытом виде там нет. создается командой (командная строка линукса, для win аналогичная)

htpasswd -c /home/doe/public_html/.htpasswd user password

можно средствами самого php, только надо подобрать/реализовать функцию crypt() которая шифрует пароль, для разных платформ/версий она отличается алгоритмом