Долго мучился с CHtmlPurifier, но так и не понял как его настроить, поставил tidy по вашему совету - пришлось поколдовать с кодировкой немного, но теперь всё работает, спасибо! =)
К сожалению, оба ваших варианта у меня ни запустились, ни скомпилировались (возможно старый MSVS). Да и вообще вопрос был не о размытии, а о преобразовании.
кодовый гет параметр - это только урл, который уже ведет на страницу авторизации, а там уже данные идут через POST. и зашитый в пхп код будет так же преобразовываться, хотябы ради приличия =)
Василий: можно сказать что это мой личный сайт, а не организация, и пользователь у него будет только один - это админ) поэтому и делаю такую "странную" авторизацию, просто хочется убедиться что у нее нет критических недостатков
Василий: как я понял, телнет все равно получает готовое содержимое страницы, а не исходник.
Сайт один раз скачивал через "телепорт" - он также грабил содержимое. А в полученном html коде нигде не будет этого хеша - он будет только в исполняемом коде.
К тому же злоумышленник, чтобы подойти к этой странице, должен знать вообще где она, тот же телепорт сканирует сайты на ссылки и переходит от одной к другой. К моей форме авторизации нигде и никогда ссылок не будет.
К сожалению в системном администрировании я очень плох и не разговариваю на эльфийском, поэтому мне очень тяжело вас понять =)
Antony Ryabov: сложно подключить к фреймворку - это большой минус. большая вероятность что я накосячу фатальную ошибку в такой авторизации, которой ничего не понимаю, чем в моем варианте, который сделать достаточно легко (это сейчас большой плюс для меня). вопрос только в том, нет ли в этом варианте ошибок
мне кажется это не настолько безопасный метод аутентификации:
- сложно подключить к фреймворку
- пароль хранится в чистом виде
- неограниченная возможность перебора пароля
Спасибо за помощь! Проблему обнаружил - у меня в настройках отключено сохранение истории, почему-то это важно аддону. Может вы знаете, есть ли какие-то способы сделать его независимым от этой настройки?