PHP: Защита страницы паролем

Владимир Демянович
01.07.2015

У меня заказали разработать для сайта php-модуль. В модуле есть админка, которую естественно нужно защитить паролем, при этом так, чтобы сессия сохранялась и распространялась не только на один php-файл. Чтобы не изобретать велосипед решил найти в Интернете готовое решение и без проблем его нашел.

Нашел скрипт на сайте: http://www.zubrag.com/scripts/password-protect.php

Ниже делюсь php-кодом, в котором убрал лишь строку "Powered by Password Protect" и перевел надписи с английского языка на русский. Для корректного отображения кириллицы PHP-код сохраняйте в файле с кодировкой utf-8.

PHP-код:

<?php

###############################################################
# Page Password Protect 2.13
###############################################################
# Visit http://www.zubrag.com/scripts/ for updates
###############################################################
#
# Usage:
# Set usernames / passwords below between SETTINGS START and SETTINGS END.
# Open it in browser with "help" parameter to get the code
# to add to all files being protected.
# Example: password_protect.php?help
# Include protection string which it gave you into every file that needs to be protected
#
# Add following HTML code to your page where you want to have logout link
# <a href="http://www.example.com/path/to/protected/page.php?logout=1">Logout</a>
#
###############################################################

/*
-------------------------------------------------------------------
SAMPLE if you only want to request login and password on login form.
Each row represents different user.

$LOGIN_INFORMATION = array(
'zubrag' => 'root',
'test' => 'testpass',
'admin' => 'passwd'
);

--------------------------------------------------------------------
SAMPLE if you only want to request only password on login form.
Note: only passwords are listed

$LOGIN_INFORMATION = array(
'root',
'testpass',
'passwd'
);

--------------------------------------------------------------------
*/

##################################################################
# SETTINGS START
##################################################################

// Add login/password pairs below, like described above
// NOTE: all rows except last must have comma "," at the end of line
$LOGIN_INFORMATION = array(
'elimSLogin' => 'elimSPass'
);

// request login? true - show login and password boxes, false - password box only
define('USE_USERNAME', true);

// User will be redirected to this page after logout
define('LOGOUT_URL', 'http://www.example.com/');

// time out after NN minutes of inactivity. Set to 0 to not timeout
define('TIMEOUT_MINUTES', 0);

// This parameter is only useful when TIMEOUT_MINUTES is not zero
// true - timeout time from last activity, false - timeout time from login
define('TIMEOUT_CHECK_ACTIVITY', true);

##################################################################
# SETTINGS END
##################################################################
///////////////////////////////////////////////////////
// do not change code below
///////////////////////////////////////////////////////

// show usage example
if(isset($_GET['help'])) {
 die('Include following code into every page you would like to protect, at the very beginning (first line):<br>&lt;?php include("' . str_replace('\\','\\\\',__FILE__) . '"); ?&gt;');
}

// timeout in seconds
$timeout = (TIMEOUT_MINUTES == 0 ? 0 : time() + TIMEOUT_MINUTES * 60);

// logout?
if(isset($_GET['logout'])) {
 setcookie("verify", '', $timeout, '/'); // clear password;
 header('Location: ' . LOGOUT_URL);
 exit();
}

if(!function_exists('showLoginPasswordProtect')) {
// show login form
function showLoginPasswordProtect($error_msg) {
?>
<html>
 <head>
  <title>Для доступа к странице введите пароль</title>
  <META HTTP-EQUIV="CACHE-CONTROL" CONTENT="NO-CACHE">
  <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
 </head>
 <body>
  <style>
   input { border: 1px solid black; }
  </style>
  <div style="width:500px; margin-left:auto; margin-right:auto; text-align:center">
   <form method="post">
    <h3>Введите имя пользователя и пароль:</h3>
    <font color="red"><?php echo $error_msg; ?></font><br />
    <?php if (USE_USERNAME) echo 'Пользователь:<br /><input type="input" name="access_login" /><br />Пароль:<br />'; ?>
    <input type="password" name="access_password" /><p></p><input type="submit" name="Submit" value="Войти" />
   </form>
   <br />
  </div>
 </body>
</html>

<?php
// stop at this point
die();
}
}

// user provided password
if (isset($_POST['access_password'])) {
 $login = isset($_POST['access_login']) ? $_POST['access_login'] : '';
 $pass = $_POST['access_password'];
 if (!USE_USERNAME && !in_array($pass, $LOGIN_INFORMATION)
 || (USE_USERNAME && ( !array_key_exists($login, $LOGIN_INFORMATION) || $LOGIN_INFORMATION[$login] != $pass ) )
 ) {
  showLoginPasswordProtect("Пароль не верный.");
 }
 else {
  // set cookie if password was validated
  setcookie("verify", md5($login.'%'.$pass), $timeout, '/');
  // Some programs (like Form1 Bilder) check $_POST array to see if parameters passed
  // So need to clear password protector variables
  unset($_POST['access_login']);
  unset($_POST['access_password']);
  unset($_POST['Submit']);
 }
}
else {
 // check if password cookie is set
 if (!isset($_COOKIE['verify'])) {
  showLoginPasswordProtect("");
 }
 // check if cookie is good
 $found = false;
 foreach($LOGIN_INFORMATION as $key=>$val) {
  $lp = (USE_USERNAME ? $key : '') .'%'.$val;
  if ($_COOKIE['verify'] == md5($lp)) {
   $found = true;
   // prolong timeout
   if (TIMEOUT_CHECK_ACTIVITY) {
    setcookie("verify", md5($lp), $timeout, '/');
   }
   break;
  }
 }
 if (!$found) {
  showLoginPasswordProtect("");
 }
}
?>

На страницах, которые вы хотите защитить паролем, в первой строке пропишите код:

<?php include("/home/user/password_protect.php"); ?>

Где "/home/user/password_protect.php" - путь к файлу с этим скриптом.

В скрипте прописаны следующие логин и пароль: elimSLogin и elimSPass. Можно заменить на свой логин и пароль.

Также в строке "define('TIMEOUT_MINUTES', 0);" можно указать время таймаута для сессии.

 

 

Возможно Вам будет интересно:
  1. PHP: Отображение разного контента в зависимости от адреса страницы
  2. WordPress: Повторяющиеся заголовки (title) и номер страницы
  3. WordPress: ошибка "Peer certificate cannot be authenticated with known CA certificates"
Понравилось? =) Поделись с друзьями:
Опубликовано в рубрике Программирование
Метки:
«
»

Обсуждение записи “PHP: Защита страницы паролем”

  1. Ваня (/betterkill.wordpress.com) says:
    23.05.2015 в 04:38

    Может мне кто-то ответить неужели никто не доберется до данного файла и не сможет посмотреть лог/пасс?

  2. Владимир Демянович (elims.org.ua) says:
    24.05.2015 в 20:35

    Ваня, php файлы для обычных пользователей выполняются, а не отображают то, что в них содержится. В том же wordpress пароли от базы данных содержатся в файле wp-config.php. Если же человек имеет доступ к php файлам, на уровне чтения их содержимого, то уже не важно есть там пароли или нет — фактически ресурс уже взломан.

  3. Антон (www.glazur.in.ua) says:
    12.06.2015 в 16:51

    У меня такой вопрос: есть ли резон кодировать пароль в файле через base64 ? Мне кажется так сохраннее будет, но с другой стороны это лишний геморрой, тем более что как уже сказали выше — если уже доберутся до файла, то разницы особо нету закодировано что-то или нет. Но интересно все же…

  4. Владимир Демянович (elims.org.ua) says:
    12.06.2015 в 17:46

    Антон, нет, нет резона, так как из base64 кода легко получить то, что было в нем закодировано.

Обсудить