Для админки сайта написал скрипт проверки данных логин-пароль.
auth.php
<?php
//подключаем настройки
include('db_settings.php');
$connect = mysql_connect($server, $user, $password) or die('соединиться с базой не удалось');
mysql_select_db($db, $connect) or die('соединиться с базой не удалось');
if (isset($_POST['submit']))
{
if (!empty($_POST['login']) && !empty($_POST['password']))
{
$login = sha1($_POST['login']);
$password = sha1($_POST['password']);
$query = "SELECT * FROM `$db`.`users` WHERE login='".mysql_real_escape_string($login)."' AND password='".mysql_real_escape_string($password)."'";
$qres = mysql_query($query, $connect) or exit;
if ($data = mysql_fetch_assoc($qres))
{
//если верная пара логин-пароль
//выставляем время жизни сессии
ini_set('session.cookie_lifetime', SESSION_LIFETIME);
//убиваем прошлую сессию
//создаем новую
session_unset();
session_destroy();
session_start();
//создаем переменные сессии
$_SESSION['login'] = $login;
$_SESSION['password'] = $password;
//перенаправляем на главную страницу
header("Location: http://admin.example.ru/afterlogin");
}
else
{
//если неверная пара логин-пароль
//отправляем на главную страницу admin'а
session_start();
session_destroy();
//выводим сообщение об ошибке
print ERROR_WRONG_SUBMIT;
}
}
else
{
//если отправлен пустой запрос
//отправляем на главную страницу admin'а
session_start();
session_destroy();
header("Location: http://admin.example.com/");
}
}
Суть ясна: при удачной попытке пользователь попадает на страничку http://admin.example.com/afterlogin
Однако, дабы избежать попытки проникновения на эту страничку без авторизации, я написал еще один скриптик для того случая, если кто-то попытается зайти сразу на http://admin.example.com/afterlogin:
<?php
//загружаем настройки
include('db_settings.php');
//устанавливаем время жизни сессии (константа, определена в db_settings.php)
ini_set('session.cookie_lifetime', SESSION_LIFETIME);
session_start();
//соединение с базой
$connect = mysql_connect($server, $username, $password);
mysql_select_db($db, $connect) or die('соединиться с базой не удалось… '.mysql_error($connect));
mysql_query("set names cp1251", $connect);
//если существуют переменные сессии,
//устраиваем проверку
if (isset($_SESSION['login']) && isset($_SESSION['password']))
{
//определяем переменные сессии
$sess_login = $_SESSION['login'];
$sess_password = $_SESSION['password'];
$query = "SELECT * FROM $db.`users` WHERE login='".mysql_real_escape_string($sess_login)."' AND password='".mysql_real_escape_string($sess_password)."'";
$qres = mysql_query($query, $connect) or exit;
//если данные не совпадают
if ($data != mysql_fetch_assoc($qres))
{
session_start();
session_destroy();
//header("Location: http://admin.example.com/");
print ERROR_WRONG_SUBMIT;
}
//если совпали, включаем код страницы afterlogin
else
{
include('pages/afterlogin.html');
}
}
//иначе перенаправляем на главную админскую страницу
else
{
session_start();
session_destroy();
header("Location: http://admin.example.com/");
}
?>
Так вот. У меня вопрос. А если сделать в обоих файлах переменную типа $_SESSION['is_authorized'], которой присваивать либо true, либо false и во втором файле проверять лишь эту переменную? Будет ли это безопасный способ?
