mixucoz|Качай кино|музыку|Игры|шаблоны юкоз|все о uCoz

Защита страниц

Denisucoz — Sat, 15 May 2010 11:45:31 GMT

Иногда бывает нужно закрыть от постороннего доступа PHP страницу, если Вы делаете закрытую область сайта. Это может быть какая-то скрытая информация для ваших клиентов или посетителей сайта, какой-то администраторский интерфейс для вас и т.д. Можно придумать сотни различных задач требующих ограничения доступа.

Закрыть такую страницу можно несколькими взаимодополняющими друг друга способами:
Защита паролем (логин/пароль) с помощью переменных $_SERVER["PHP_AUTH_USER"] и $_SERVER["PHP_AUTH_PW"].
Защита по IP адресу клиента с помощью переменной $_SERVER["REMOTE_ADDR"].
Защита по MAC адресу в локальных сетях (дополнительно к защите по IP).

Разберем сначала первый способ, который является основным. Он позволяет закрыть доступ к странице по логину и паролю, таким образом доступ могут получить только люди знающие логин и пароль. К тому же их можно разделять по этому признаку и выдавать соответственно разную информацию для каждого. Реализуется с помощью выдачи специальных полей в заголовке протокола HTTP. Создадим функцию auth_send():
function auth_send(){
header('WWW-Authenticate: Basic realm="Closed Zone"');
header('HTTP/1.0 401 Unauthorized');
echo ""
,"

Ошибка аутентификации

"
,"

Обратитесь к администратору для получения логина и пароля.

"
,"";
exit;
};
?>

Эту функция сообщает браузеру о том, что для доступа нужна авторизация по логину и паролю. И выдает также страницу в HTML для пользователя.
// код auth_send()
...

$login = "admin";
$password = "admin";

if (!isset($_SERVER['PHP_AUTH_USER'])) {
auth_send();
} else {
$auth_user = $_SERVER['PHP_AUTH_USER'];
$auth_pass = $_SERVER['PHP_AUTH_PW'];

if (($auth_user != $login) || ($auth_pass != $password)) {
send_auth();
};
};

echo ""
,"

Добро пожаловать!

"
,"

Вы зашли по логину ",$auth_user," и паролю ",$auth_pass,".

"
,"";
?>

Код проверки логина и пароля не слишком сложный в данном случае, так как реализован для одного человека. Логика работы проста, если нет переменной $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'] или их значения не совпадают с нужными, то вызываете функцию auth_send(). Не забывайте, что в ней в конце вызывается exit, поэтому выполнение программы прекращается.

Следующая ступень защиты реализуется по фильтрации IP адреса подключающегося клиента. Конечно в интернете многие провайдеры выдают IP адреса на время и эту защиту использовать бесполезно, но если речь идет о корпоративных локальных сетях, то данная проверка обеспечит дополнительную защиту.
// список разрешенных IP адресов через пробел
$allowed_ips = "192.168.10.15 192.168.10.2 212.34.124.56";

$ips = explode(" ",$allowed_ips);
if (array_search($_SERVER["REMOTE_ADDR"],$ips) === FALSE) {
echo "

Ваш IP не найден !!!";
exit;
};
?>

Тут в строке $allowed_ips через пробел указаны IP адреса, которым разрешен доступ. Далее получаем массив с помощью explode() и делаем поиск адреса клиента из $_SERVER["REMOTE_ADDR"]. Я для поиска применил функцию array_search(), так как неверняка ее код реализованный на Си будет работать несколько быстрее, чем то, что мы можем написать на PHP с помощью циклов for или foreach. Но скорость тут не главное

И последняя ступень защиты это проверка MAC адреса. Она относится к разряду параноидальных и ее стоит использовать, если вы получаете доступ из локальной сети и данные, которые вы защищаете действительно очень важные. Я пока реализовал эту проверку только на системе Linux, в силу относительной простоты реализации. Но Вы можете ее попробовать реализовать под любую другую платформу. Пишем функцию:
function resolve_mac_for_ip($ip){
$found_mac = NULL;
$f_in = fopen("/proc/net/arp","r");
if ($f_in != NULL){
fgets($f_in);
while (!feof($f_in)){
$t = fgets($f_in);
if ($t != NULL){
$str_split = preg_split ("/[\s]+/", $t);
if ($str_split[0]==$ip) {
$found_mac = $str_split[3];
break;
};
};
};
fclose($f_in);
};
return $found_mac;
};

echo "Ваш IP=",$_SERVER["REMOTE_ADDR"]," и MAC=",resolve_mac_for_ip($_SERVER["REMOTE_ADDR"]);

Как линуксоиды уже поняли она основана на ARP таблице системы, доступ к которой можно получить с помощью файла /proc/net/arp. Функция ищет по строкам требуемый IP адрес и возвращает его MAC адрес:
Ваш IP=192.168.10.15 и MAC=00:04:31:E4:F8:37

В системе Windows возможно тоже есть какие-то способы получить MAC попроще, но из тех, которые реально работают, это вывод ARP таблицы системы командой:
C:\WINDOWS\>arp -a

Интерфейс: 192.168.10.15 on Interface 0x1000003
Адрес IP Физический адрес Тип
192.168.10.1 00-50-22-b0-6a-aa динамический
192.168.10.2 00-0f-38-68-e9-e8 динамический
192.168.10.3 00-04-61-9e-26-09 динамический
192.168.10.5 00-0f-38-6a-b1-18 динамический

Реализовать защиту на основе этого адреса Вы сможете сами, если Вам это действительно надо Но помните, что если у Вас в сети неуправляемое оборудование без возможности привязки MAC адреса к порту, эта защита может не сработать, так как можно подделать все Ваши идентификационные данные используемые для защиты (логин, пароль, IP и MAC адрес).

Защита букса от взлома,накруток, Java Script

vladislaw — Wed, 23 Dec 2009 20:44:52 GMT

1. Для защиты от накрутки делайте так

в фале view.php и viewp.php

найти строчку 10

Quote

$adse=limpiar($_GET["ad"])

и миняем

Quote

$adse=(int)limpiar($_GET["ad"])

для защиты от накрутки (версия 2) сделайте так:

1. зайдите в PhpMyAdmin в ПУ сайтом.
2. Выбираем базу данных SQL на которой стоит ваш скрипт Bux.
3. Потом в левой колонке мы видем открывшиеся дампы SQL базы. В левой колонке жмем на дамп tb_ads. У вас открылась новая страница. Выбирайте строку ident и жмите её редактирование.
4. Далее, в новом окне вы видите настройки: varchar - 150 - not null. Теперь меняем настроки: varchar на INT, 150 на 11, Not null на Null и сохраняем. Теперь накрутка закрыта.

2. Добавление поля WMID

переписать файлы profile.php register.php в архиве на ваш хостинг.

подредактировать дизайн если нужно

теперь поле (pemail) назвать WMZ

а новое поле WMID

также в базе выпонить SQL запрос

Quote

ALTER TABLE `tb_users` ADD `wmid` varchar(150) NOT NULL;

и оповестить всех пользоватлей чтобы внесли изменнения

3. Для исправления даты входа

файл login.php

найти строчку

Quote

$lastlogdate=date ($lastlogdate=time();)

заменить на

Quote

$lastlogdate=date("d.m.Y");

4. Для исправления даты регистрации

файл login.php

найти строчку

Quote

$joindate=date ($joindate=time();)

заменить на

Quote

$joindate=date("d.m.Y");

5. для защиты от SQL и XSS
взять файлик .zsecurity.php скопировать в корень
в файлы advertise.php convert.php login.php register.php

в самом начале файлов

Quote

session_start();
?>

заменить на

Quote

require_once('.zsecurity.php');
session_start();
?>

УЯЗВИМОСТЬ:

Quote

$sendfrom=$_COOKIE["usNick"]; заменить на $sendfrom=limpiar($_COOKIE["usNick"]);

в реплисмс.пхп

-----------------------------------------------------------------

Quote

$trok=uc($_COOKIE["usNick"]);

заменить это на это

Quote

if(isset($_COOKIE["usNick"]) && isset($_COOKIE["usPass"])) { $trok=uc($_COOKIE["usNick"])

заменить это

Quote

$queryb = "UPDATE tb_users SET password='$password', ip='$laip', email='$email', pemail='$pemail', country='$country' WHERE username='$trok'"; mysql_query($queryb) or die(mysql_error());
echo "..."; ?>

на это:

Quote

яен на рассмотрение в соответсвующие органы!'); }

в профил.пхп

---------------------------------------------------------------------

Quote

function limpiarez($mensaje)
{ $mensaje = str_replace("'"," ",$mensaje);
$mensaje = str_replace(";"," ",$mensaje);
$mensaje = str_replace("$"," ",$mensaje); return $mensaje; }

замени на

Quote

function limpiarez($mensaje) { $mensaje = str_replace("'"," ",$mensaje); $mensaje = str_replace(";"," ",$mensaje); $mensaje = str_replace("$"," ",$mensaje); $mensaje = str_replace("<"," ",$mensaje); $mensaje = str_replace(">"," ",$mensaje); return $mensaje; }

в адвертайс.пхп

---------------------------------------------------------------------

Quote

$adse=limpiar($_GET["ad"]);

на

Quote

if(preg_match("|^[\d]*$|",$_GET['ad']))
{
$adse=$_GET["ad"];
} else die("Invalid advert ID.");

в виев.пхп и виевп.пхп

Защита:
Файлы которые нужно исправить: advertise.php, contact.php, convert.php, register.php, profile.php, logoun.php

в файле advertise.php
после

Quote

$pemail=limpiarez($_POST["pemail"]);
$plan=limpiarez($_POST["plan"]);
$url=limpiarez($_POST["url"]);
$description=limpiarez($_POST["description"]);
$bold=limpiarez($_POST["bold"]);
$highlight=limpiarez($_POST["highlight"]);

добавить

Quote

$url=htmlspecialchars($url); // Защита от взлома
$pemail=htmlspecialchars($pemail); // Защита от взлома
$description=htmlspecialchars($description); // Защита от взлома

в файле contact.php после(можно не удалять!)

Quote

$name=limpiar($_POST["name"]);
$email=limpiar($_POST["email"]);
$topic=limpiar($_POST["topic"]);
$subject=limpiar($_POST["subject"]);
$comments=limpiar($_POST["comments"]);

добавить

Quote

$name=htmlspecialchars($name); // Защита от взлома
$email=htmlspecialchars($email); // Защита от взлома
$topic=htmlspecialchars($topic); // Защита от взлома
$subject=htmlspecialchars($subject); // Защита от взлома
$comments=htmlspecialchars($comments); // Защита от взлома

в файле convert.php
после

Quote

$link=limpiar($_POST["link"]);
$description=limpiar($_POST["description"]);

добавить

Quote

$link=htmlspecialchars($link); // Защита от взлома
$description=htmlspecialchars($description); // Защита от взлома

Поставьте ето система зашиты.

___В файле register.php поставить ограничения на ввод WMZ и емайл до 25символов!(обязательно!)
___Контакты удалить и написать свою асю и емайл.
___В форме "вход" поставить ограничения на поле пароль(20 символов)
___В форме "Рекламодателю" поставить ограничения на ввод текста ссылки(40символов) и WMZ(15символов) - желательно!
___Желательно сделать в файле profile.php чтоб пользователи не могли менять свои данные сами(были случаи кражи паролей админа и других пользователей) скачать