Как можно организовать авторизацию для единственного администратора?

Question

[Алексей Скляров]

Админ панелью (очень простой) будет пользоваться только один человек. Задача состоит в написании максимально простой авторизации. Как я представляю себе это:
1. Логин и пароль записываются в php файле
2. Есть страница /admin/, на которой показывается форма, если человек не авторизован - иначе админку.
3. Человек вводит в форму логин и пароль, пароль передается в md5, в файле происходит проверка, если все нормально, то записываем ему куки с временем жизни. (тут я не понимаю нужно ли вообще передавать пароль в каком-то закодированном виде, просто видел такое на других самописах)
4. У пользователя обновяляется страница /admin/, на которой условием показа админки является наличие записи в куки. Если она есть, показываем админку, если нет - не показываем.

Хочу узнать, насколько мои предположения верны, на какие моменты нужно обратить внимание, что стоит поменять?

Comments

[RidgeA]

Нет смысла передавать пароль в уже зашифрованном виде - т. к. ни что не мешает в коде страницы посмотреть как он шифруется. Для защиты пароля от перехвата надо использовать SSL.

[Алексей Скляров]

RidgeA, к сожалению я вообще в плане безопасности не разбираюсь, единственное, что могу сказать - сам SSL сертификат установлен. Не знаю насколько это то, что нужно

Answer 1

[Александр Аксентьев]

Куки можно редактировать в браузере. Вам это о чем-нибудь говорит?

Просто воткните htpasswd, и не парьте себе мозг.

Answer 2

[Павел Корнилов]

Все хорошо, но нужно писать не в кукис, а в сессионную переменную.
А потом проверять

if($_SESSION['admin']) {
// Блок для админа
}

Тогда единственным способом захватить админство - будет подмена сессионной переменной, хранящейся в броузере. Но это почти не реально.