Forum PHP.pl > Zabezpieczenie strony wieloma jednorazowymi hasłami

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Zabezpieczenie strony wieloma jednorazowymi hasłami

Duor

28.09.2015, 18:28:44

Witam

Staram się stworzyć zabezpieczenie strony hasłami jednorazowego użytku, które są zapisane w pliku tekstowym.
Na samej górze strony umieściłem skrypt, który nie pozwala wczytać reszty strony dopóki nie podany poprawnego hasła. Jednak opiera on się na funkcji "stristr", więc jeśli moje hasła zapisane w pliku to przykładowo "haslo123" i "haslo1" to wystarczy przecież wpisać np. "has" i już otrzymamy dostęp, ponieważ ten ciąg znaków również występuje.

Próbowałem także wczytać wszystkie hasła z pliku do tablicy, a następnie sprawdzić funkcją in_array() czy podane przez użytkownika hasło jest poprawne (znajduje się w tablicy), ale funkcja wychwytywała tylko ostatnie hasło z pliku, reszta haseł nie działała.

[PHP] pobierz, plaintext 
<?php
	$sprawdz = $_SESSION['haslo'];
	$hasla = file_get_contents('haslo.txt'); //wczytanie haseł z pliku
 
	if(stristr($hasla, $sprawdz) != true){ //jeśli nie podano poprawnego hasła wyświetl formularz wprowadzenia hasła 
		echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php"> //wprowadzenie hasła przez użytkownika
			 <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">	
		');
		exit(); //wczytaj dalszą część strony, jeśli podano poprawne hasło
	}
 
        //nadpisanie pliku z hasłami, ale bez zapisywania hasła właśnie użytego (tak, żeby hasła były jednorazowe)
	$hasla=str_replace($sprawdz, '', $hasla);
	file_put_contents('haslo.txt', $hasla);
?>
[PHP] pobierz, plaintext

Plik spradz.php:

[PHP] pobierz, plaintext 
    <?php
    session_start();
    $haslo = $_POST["haslo"];
    $_SESSION['haslo'] = $haslo;
    header("Location: index.php");
    ?>
[PHP] pobierz, plaintext

Mam nadzieję, że można rozwiązać mój problem w miarę prosty sposób

(Zdaję sobie sprawę, że takie zabezpieczenie nie należy do bardzo bezpiecznych, ale na potrzeby nauki mogę sobie na to pozwolić

)

Wazniak96

28.09.2015, 18:46:02

Jak wygląda plik z hasłami? Hasła zapisane po spacji czy w nowych linijkach ?

Duor

28.09.2015, 18:58:57

W nowych linijkach np.
haslo1234
haslo123
haslotest

Pyton_000

28.09.2015, 23:08:24

pewnie używałeś do tego celu file(), a ta wczytując linie do tablicy zostawia znak nowej linii na końcu każdej linijki (poza ostatnią jeśli nie było takoweg), więc musisz dodać odpowiedni parametr (patrz manual)

Duor

29.09.2015, 17:03:25

Mój skrypt oparty na in_array() oraz z wykorzystaniem trim() do usunięcia znaków białych wygląda teraz tak:

[PHP] pobierz, plaintext 
$sprawdz = trim($_SESSION['haslo']); //usuwa znaki białe z hasła podanego przez użytkownika
$hasla = file('haslo.txt'); //wczytuje hasła do tablicy
$ileelementow = count ($hasla); //sprawdzam ile haseł zostało wczytanych
 
while ($i <= $ileelementow) { // usuwam białe znaki ze wszystkich haseł w tablicy
	 $hasla[$i] = trim($hasla[$i]);
	 $i = $i +1;
}	
 
	if (in_array($sprawdz, $hasla) == false) { //jeśli nie podano prawidłowego hasła wyświetl formularz
	        echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php">
			 <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">
		');
		exit();
	}
 
 
// --------------  Przerobiony skrypt usuwania użytego hasła, tym można zająć się później -------------- 
	$ii = 0;
	while ($ii <= $ileelementow) {
		if (stristr($hasla[$ii], $sprawdz) == true)	{
			$hasla[$ii] = "";
		}
		$nowehasla = $nowehasla . $hasla[$ii] . "/n";
		$ii = $ii + 1;
	}
	file_put_contents('haslo.txt', $nowehasla);
[PHP] pobierz, plaintext

Wydaje mi się, że wszystko wygląda całkiem logicznie, jednak teraz strona ładuje się od razu cała, pomijając formularz hasła - tak jakby warunek

[PHP] pobierz, plaintext 
	if (in_array($sprawdz, $hasla) == false) 
[PHP] pobierz, plaintext

nie był spełniony, a przecież domyśnie powinien właśnie być, ponieważ nie podaliśmy jeszcze żadnego hasła...

Będę bardzo wdzięczny za jakiekolwiek wskazówki, im dłużej się z tym męczę tym bardziej zależy mi na znalezieniu sposobu

kapslokk

29.09.2015, 17:37:49

[PHP] pobierz, plaintext 
while ($i <= $ileelementow) { // usuwam białe znaki ze wszystkich haseł w tablicy
	 $hasla[$i] = trim($hasla[$i]);
	 $i = $i +1;
}	
[PHP] pobierz, plaintext

Przecież Pyton Ci napisał, żebyś użył odpowiedniej flagi do file(), a Ty kombinujesz.

[PHP] pobierz, plaintext 
$hasla = file('haslo.txt', FILE_IGNORE_NEW_LINES); //wczytuje hasła do tablicy
[PHP] pobierz, plaintext

Poza tym jak używasz zmiennej, to warto ją pierw stworzyć. Mam na myśli $i.

Duor

29.09.2015, 20:14:44

Rzeczywiście wystarczyło poczytać trochę o flagach i wszystko działa, wielkie dzięki za pomoc!

Wklejam gotowy kod, może komuś kiedyś sie przyda

[PHP] pobierz, plaintext 
	$sprawdz = $_SESSION['haslo'];
	$hasla = file('haslo.txt', FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES); // Tego mi było trzeba 
	$ileelementow = count ($hasla);	
 
	if (in_array($sprawdz, $hasla) == false) {
		echo ('
			<h2 style="margin-left:15px;">Podaj swój kod dostępu:</h2>
			<form method="POST" action="sprawdz.php">
			  <input type="password" placeholder="haslo" class="form-control" id="pass" name="haslo" width="300px;" style="margin-left:0px;">
			');
		exit();
		}
 
//zapis pozostałych haseł - bez hasła włąśnie użytego
	$ii = 0;
	while ($ii <= $ileelementow) {
		if (stristr($hasla[$ii], $sprawdz) == true)	{
			$hasla[$ii] = "";
		}
		$nowehasla = $nowehasla . $hasla[$ii] . "\r\n";
		$ii = $ii + 1;
	}
	file_put_contents('haslo.txt', $nowehasla);
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.