Вход на сайт PHP?

Question

[VegasChickiChicki]

Изучаю PHP и пытаюсь сделать вход на сайт. Не знаю на сколько правильно и безопасно ,но сейчас логин и пароль хранятся в JSON файле. Есть вот такая форма:

<form action="/" method="post">
                    <input id="login" type="text">
                    <label for="login">Логин</label>
                    <input id="pass" type="text">
                    <label for="pass">Пароль</label>
                    <button type="submit">Войти</button>
                </form>

Далее я пытаюсь обработать ее AJAX'ом и отправить введенные данные на сервер:

document.querySelector('.login-form form').addEventListener('submit',function (el) {
        el.preventDefault();
        $.ajax({
            type: "POST",
            url: "./admin.php",
            data: {
                action: "administration",
                login: document.querySelectorAll('.login-form form input')[0].value,
                pass: document.querySelectorAll('.login-form form input')[1].value,
            }
        });
    });

Далее не могу понять что делать ,мне нужно как то проверить правильный ли логин и пароль и отправить ответ ,если правильный ,то перейти на другую страницу ,если нет ,вывести сообщение с ошибкой.

if ($_POST['action'] && $_POST['action'] === 'administration'){
    if ($_POST['login'] === $data -> administration -> login && $_POST['pass'] === $data -> administration -> pass){
        
    }
}

Сильно не ругайтесь ,пытался найти в интеренете как сделать вход с помощью PHP ,но ничего не понял ,там все связанно с БД ,я бы хотел попробовать хранить данные о логине и пароле в JSON файле ,хотя не знаю на сколько это правильно...

Comments

[Александр Торопов]

Никогда не храните так пароли.

[VegasChickiChicki]

Александр Торопов, А где мне тогда хранить пароль? У сайта нет БД ,нужен только один аккаунт для входа в админку ,ради 1 аккаунта бд делать? Можно как-то зашифровать или еще что-то сделать ,не создавая БД?

[Александр Торопов]

Если один, тогда прописать логин и пароль, в виде переменных, в каком нибудь файле config.php.
А потом сравнивать их с введенными.

[Adamos]

VegasChickiChicki, а в админке что-то, кроме надписи "админка", ожидается?
Не придется ли результаты действий в админке где-то хранить?
БД - не обязательно сервер, есть SQLite. Только файл базы нужно хранить вне корня.

[VegasChickiChicki]

Александр Торопов,

<?php

$login = 'test';
$pass = 'test';


if ($_POST['action'] && $_POST['action'] === 'administration'){
    if ($_POST['login'] === $login && $_POST['pass'] === $pass){

    }
}

Хорошо ,понял ,спасибо ,вот так сделал. А что вернуть с сервера при успешной проверке?

[Егор Трегубенко]

VegasChickiChicki, а зачем тогда админка если там нет динамических данных?) сделайте просто инпут и проверяйте вводимое значение с заранее придуманным паролем ( тем более что аккаунт один)

[VegasChickiChicki]

Adamos, В админке пользователь производит управления страничкой ,а это просто изменение записей в JSON файле ,на основе которого будет происходить рендер сайта ,но на ней все данные при их измении сразу же отправляются в этот JSON ,так что нужно просто где хранить 2 переменные с логином и паролем.

[Виталий Хоменко]

VegasChickiChicki, дело не в БД, а в том, что вы пароль держите в открытом виде. Любая утечка данных и ваш пароль уже не ваш. Храните хэш пароля, а не сам пароль. Прочитайте о https://www.php.net/manual/ru/function.password-ve...

[VegasChickiChicki]

Егор Трегубенко, В админке пользователь производит управления страничкой ,а это просто изменение записей в JSON файле ,на основе которого будет происходить рендер сайта ,но на ней все данные при их измении сразу же отправляются в этот JSON ,так что нужно просто где хранить 2 переменные с логином и паролем.

[VegasChickiChicki]

Виталий Хоменко, Мне уже посоветовали хранить пароль как переменные ,я уже не знаю что более эффективно\правильно...
Либо же так:

<?php

$login = 'test';
$pass = 'test';


if ($_POST['action'] && $_POST['action'] === 'administration'){
    if ($_POST['login'] === $login && $_POST['pass'] === $pass){

    }
}

,либо с помощью хеша...

[Денис Дерепко]

VegasChickiChicki, всегда хеш, т.к. правильно заметил Виталий Хоменко

Любая утечка данных и ваш пароль уже не ваш

. Хранить можно и в переменных и в любом файле, главное в виде хеша

[Денис Дерепко]

VegasChickiChicki, Так же важно использовать нормальную функцию хеширования, которая даёт минимальную коллизию (например sha256), а не md5

[VegasChickiChicki]

Денис Дерепко, Понял ,то есть я один раз пропущу парль через функую хеша ,закодирую его ,потом этот хеш буду хранить в переменной ,от пользователя получать пароль ,проверять его через функцию

password_verify ( string $password , string $hash )

с созданным хешом и на основе этого выдавать ответь ,правильный пароль или нет ,я правильно понял?

[Денис Дерепко]

VegasChickiChicki, Да

[Adamos]

Денис Дерепко, "хранить в любом файле" - неверно. Если эти данные хранятся в JSON-файле в той же папке, что и РНР-скрипты - можно считать, что они написаны на заборе.
Да, я тоже не верю, что пароль к этому говносайтику кто-то будет подбирать радужными таблицами, но делать через задницу даже мелочи - неправильно.

[Vitsliputsli]

Adamos, простите, а где вы так храните php-скрипты, что все что в них общедоступно?

[Adamos]

Vitsliputsli, простите, а вы точно внимательно читаете то, что беретесь комментировать?

[Vitsliputsli]

Adamos, возможно что-то упустил, потому и спрашиваю... А где я был не внимателен?

[Adamos]

Vitsliputsli, в районе текста "данные хранятся в JSON-файле".

[Vitsliputsli]

Adamos, вы что-то скрываете? Почему бы прямо не ответить на вопрос? Тем более, если я что-то не заметил. Вы напрасно думаете, что от такой загадочности выглядите умнее.

Если эти данные хранятся в JSON-файле в той же папке, что и РНР-скрипты - можно считать, что они написаны на заборе

Если под папкой подразумевается директория, то получается все скрипты хранятся в общедоступной директории. Разве нет? Как иначе понимать эту фразу?

[Adamos]

Vitsliputsli, я скрываю от вас великую тайну: если вы положите файл file.json рядом с admin.php, то вы сможете ввести в адресной строке браузера не только site.com/admin.php, но и site.com/file.json - и сервер безропотно выдаст любому желающему его содержимое.
Только тссс и никому!

[Vitsliputsli]

Adamos, а я вас об этом и не спрашивал, я спрашивал, где вы храните php скрипты. В принципе, теперь понятно. Но вы вижу, слишком умны, чтобы учиться и исправлять свои ошибки. Впрочем, хамить людям все равно не стоит.

[Adamos]

Vitsliputsli, вы, прочитав мой комментарий, придумали себе дурость и взялись меня в ней обвинять. Мне вам отвечать лаской и увещеваниями? На сердитых воду возят.

[Vitsliputsli]

Adamos, не мне, а называть труд другого человека говном, вот это - хамство. Ужасно, что вы этого даже не заметили. А мне нужен был только ответ на вопрос, не понимаю зачем было юлить.

[Adamos]

Vitsliputsli, какой у вас безобразный воображаемый оппонент!
Я бы рекомендовал попытаться хоть ненадолго избавиться от этого морока и почитать то, что я на самом деле писал. Не настаиваю, впрочем - если вам интереснее неравный бой и кипенье говн, дело ваше.

[Adamos]

Vitsliputsli, впрочем, раз уж вам так резануло глаз "говносайт", поясню. Я не называю труд ТС говном, я таким образом охарактеризовал результат этого труда. Поскольку верю в людей и совершенно убежден, что через пару лет сам ТС будет со мной в этой оценке полностью согласен.

Answer 1

[AUser0]

Сделайте так:

document.querySelector('.login-form form').addEventListener('submit',function (el) {
        el.preventDefault();
        $.ajax({
            type: "POST",
            url: "./admin.php",
            data: {
                action: "administration",
                login: document.querySelector('.login-form form #login').value,
                pass: document.querySelector('.login-form form #pass').value,
            },
            success: function(data) { if (data == "OK") window.location = "admin.php";}
        });
    });

В PHP-скрипте:

if ($_POST['action'] && $_POST['action'] === 'administration'){
    if ($_POST['login'] === $login && $_POST['pass'] === $pass){
      // тут нужно сделать всё, что нужно сделать
      // .....
      // а потом:
      echo("OK"); exit();
    }
}

Comments

[VegasChickiChicki]

Спасибо ,разобрался.