Авторизация на php

[zlkifl]

Добрый день! Возникли трудности следующего характера:
У меня есть страница, которая, с помощью php, вытягивает пару столбиков из MySQL и отображает их в браузере. Мне надо сделать так, что бы эту страницу видел только я. Как я понимаю, мне надо создать ещё одну страницу с авторизацией, и, при правильно введённых данных в эту форму, она отправляет меня на нужную мне страницу.
Каким образом это реализовать? Только надо учесть ещё то, что без авторизации человек не может перейти на нужную страницу, путём грубого вбивания её адреса в адресную строку браузера.

Буду очень благодарен за любую помощь. Спасибо.

 

[Senator2]

Вот Вам самый простой, наверное, вариант парольной защиты...
Ввели правильный пароль - попали на страницу, не ввели - получили ошибку..

<?php
function authenticate() 
{
    header('WWW-Authenticate: Basic realm="Какой-то заголовок"');
    header('HTTP/1.0 401 Unauthorized');
    echo('А вот и не угадали...');
    die();
}

$pass = "SuperSecretPassword";
if (!isset($_SERVER['PHP_AUTH_PW']) || ($_SERVER['PHP_AUTH_PW'] != $pass)) 
{
    authenticate();
} 
else 
{
  $url = 'http://секретная страница.php';
  // Перенаправляем на нужную страницу
  header('Location: '.$url);
}
?>

 

[zlkifl]

Спасибо, но что будет если нужный адрес (который мне и надо защитить) вбить напрямик в адресную строку браузера? Человек сразу попадёт на эту страницу, и ничего вводить ему не потребуется, так?

Но если, допустим, таким образом и поступить. Тогда ещё вопрос: есть возможность каким-то образом "ненужному" человеку узнать этот "секретный" адрес, если он нигде светиться не будет?

 

[Senator2]

Спасибо, но что будет если нужный адрес (который мне и надо защитить) вбить напрямик в адресную строку браузера? Человек сразу попадёт на эту страницу, и ничего вводить ему не потребуется, так?

Но если, допустим, таким образом и поступить. Тогда ещё вопрос: есть возможность каким-то образом "ненужному" человеку узнать этот "секретный" адрес, если он нигде светиться не будет?

Так можно ведь не редирект делать, а сразу вписать код страницы, которую Вы хотите видеть...
Т.е. - вот там, внутри else, и пишите сразу то что Вы хотите видеть при вводе правильного пароля..

<?php
function authenticate() 
{
    header('WWW-Authenticate: Basic realm="Какой-то заголовок"');
    header('HTTP/1.0 401 Unauthorized');
    echo('А вот и не угадали...');
    die();
}

$pass = "SuperSecretPassword";
if (!isset($_SERVER['PHP_AUTH_PW']) || ($_SERVER['PHP_AUTH_PW'] != $pass)) 
{
    authenticate();
} 
else 
{
 // пишем здесь код, который вытягивает нужные данные из MySQL и показывает их нам.
}
?>

 

[Greg144]

<?php 
$pass = "SuperSecretPassword";
if (!isset($_POST['password']) || ($_POST['password'] != $pass))  
{
echo '<form method="POST">Пасс? <input name="password" type="password"><input name="submit" type="submit"></form>';
}
else
{
include "security_page.php";
//или
//echo 'полный код страницы';
// в этом случае следите за скобками "" и '' в коде html
}
?>

upd: пока я тут писал шедевр - сенатор уже накатал пост)

Но это я к чему: можно сделать инклюд, и юзер не будет знать урл страницы, на которой скрипт.
Но лучше вписать код.

PS: логин в случае сенатора любой канает...

добавлено через 9 минут

Тогда ещё вопрос: есть возможность каким-то образом "ненужному" человеку узнать этот "секретный" адрес, если он нигде светиться не будет?

Да, если это хостер, и скрипты не зазендены. Хотя и зазенденные скрипты можно дезендить. Это зависит от цены вопроса и порядочности хостера.

 

[mzcoding]

Че парится, просто сессии используй и все
Страница авторизации auth.php:

<?php
  session_start();
  //код доступа
  $secret_key = "keysecret";
 if($_SESSION['file']){
 	header("Location: secure.php");
 }else{
 ?>
 <form  method="post">
 Пароль доступа: <input name="key" type="password" /><br />
 <input type="submit" value="Вход" style="border:1px solid;" name="button"/>
</form>
<?php
 }
 if(!empty($_POST)){
 	$key = htmlspecialchars($_POST['key']);
 	if($key === $secret_key){
 	    $_SESSION['file'] = $key;
 		echo "Вы успешно вошли<br />";
        echo "Перейти на секретную страницу: <a href='secure.php'>Перейти</a>";
 	}else
 		die("Ошибка авторизации");
 }
 else
 	return false;
?>

А секретную страницу назовем secure.php

<?php
session_start();
if(!$_SESSION['file'])
     die('Вы не авторизированны, доступ на данную страницу вам закрыт');
else
    //Текст страницы секретной
    echo "<h1><center>Ура, вы попали в секретный раздел!!!</center></h1>";
?>

Теперь даже если юзер узнает имя секретной страницы, попасть на нее он не сможет)

 

[zlkifl]

Спасибо огромное всем за помощь!

Да, если это хостер, и скрипты не зазендены. Хотя и зазенденные скрипты можно дезендить. Это зависит от цены вопроса и порядочности хостера.

Что значит "зазендены"?

 

[OrlandO]

можно на странице обработки логина добавить переменную(любую), а на странице, на которой будет авторизация - сделать проверку, если эта переменная будет равна 1 - выводить информацию, если 0 - не выводить!