06/08/10 20:33:49
管理画面へのログインってどうするのが一番いいの?パスワードとか。
リファラで漏れたりXSSで漏れたりしないように。
979:ぬこえもん(=´・ω・) ◆S715eQBvs6
06/08/10 22:44:44
>>978
漏れも困ってる。
ソースに埋め込むのが一番だと思うんだけど、
ページまたぐとまたパスワード入力必要とか戴けない
980:nobodyさん
06/08/11 00:31:21
例えば、セッションID+パスワードでダイジェストにするとか。
981:nobodyさん
06/08/11 09:59:56
>>979-980
そこからかよ!w
自作はあきらめろ
982:nobodyさん
06/08/11 21:49:33
>>981
俺も思ったが突っ込まなかったのに。
まずは管理画面のログインと言わずに、認証と呼ぶことから始めよう。
とりあえず、こんな感じでやっていけば自ずと見えてくるんじゃないかね。
↓テキストファイルで読み書きしてみよう
↓クッキーを使ってみよう
↓セッションを使ってみよう
↓データベースを使ってみよう
↓自分のスクリプトをハッキングしてみよう
983:nobodyさん
06/08/11 21:54:52
管理部分だけ別ディレクトリにして、BASIC認証でいいじゃん。
984:nobodyさん
06/08/11 22:55:43
>>983
PHPは何となくわかるんですが、BASICはサッパリわからないんです。
985:nobodyさん
06/08/11 23:58:52
おいおい。
986:nobodyさん
06/08/12 00:34:39
新スレ立てますた
PHP系blogツール (サーバインストール型) part 3 (利用メイン)
スレリンク(blog板)l50
Blog/Wiki関連技術総合 (開発メイン)
スレリンク(php板)l50
987:ぬこえもん(=´・ω・) ◆S715eQBvs6
06/08/12 13:10:47
クッキーにログインIDやパスワードを持たせるのがよくないということは
ログインしたよという情報をもたせればよいと?
988:nobodyさん
06/08/12 13:39:24
>>987
cookieにユニークなid入れておいて同じ名前のファイルをサーバー側に置き
その中にipなり何なり記録しておいて照合とか。
つかまぁそれをセッションと呼ぶわけだが。
989:nobodyさん
06/08/12 18:19:20
PEAR::Auth使えばいいんじゃねーの?