Mam kilka pytań dotyczących zabezpieczenia serwisu.
1. Jakie uwagi należy brać pod uwagę podczas tworzenia systemu logowania dla uzytkowników oraz dla admina.
2. Jakie są najczęstsze próby włamania na serwisy.
3. Na wielu serwisach zauważyłem że panel logowania nie wygląda jako strona html(jak na tym forum) ale jako okno windosowskie. W jaki sposób to zrobić?

Ad2. Właśnie chhba przez źle zabezpieczony panel admina, czy dane z konfiga widoczne jak na dłoni.

A można bardziej konkretniej.

Moze .htaccess?

Ad1. Brak złotej reguły. Musisz po prostu zabezpieczyć się przed możliwościami podmiany zmiennych (wyłączenie register_globals), sprawdzać ew. ciastka itd. No i nie zapisuj nigdzie hasła w postaci jawnej, a jeżeli nawet je zahaszujesz, to dostęp do pliku z hasłami ogranicz poprzez np. htaccess

Ad2. Wymuszanie błędów: zabezpiecz się przed nimi, daj opcje co ma się wyświetlać gdy brak żadanego url-a etc.

Ad3. header - patrz kod poniżej

[php:1:c86d1ff3b9]<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Tekst do wysłania, jeśli użytkownik wciśnie przycisk Anuluj';
exit;
} else {
echo "<p>Hej {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Twoje hasło to {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>[/php:1:c86d1ff3b9]

Ad. Uwagi spenalzo: chodzi mu o pliki z hasłami, które nie są zabezpieczone poprzez .htaccess i nie mają wymuszonego parsowania php. Są wtedy wysłane do przeglądarki jako czysty tekst i można odczytać zawartość.

A jak zabezpieczyc plik .php przed wgladem do pliku - niewiem czy dobrze to ujołem bo kiedys o tym czytalem ale juz nie wiem gdzie no i nie pamietam co trzebabylo zrobic :/

hmm php jest przetwarzane na serwerze wieć nie ma sznas żęby można było czytać kod po stronie www. Chyba że serwer jest źle skonfigurowany

A mam takie goopie pytanie. Jest ta tablca zmienych sesji $_SESSION i chcialbym sie dowiedziec czy da sie jakos poprzez podanie parametrow w linku przez uzytkownika (wlamywacza) zmienic wartosci w tej tablic lub w jakis sposb pobrac te dane
Zakldam ze nie no ale pytam na wypadek aby sie upewnic.

//edit
Czy da sie tak zrobic aby uzytkownik utworzyl zmienne w tablicy $_SESSION

Nie, jeżeli masz wyłączone register_globals

A gdzie sprawdzic czy mam wylaczone czy nie - domyslam sie ze w jaklims pliku apacha no ale ja jestem lamer jesli chodzi o konfiguracje apacha.

W php.ini znajdź linijkę
i ustaw wartość na Off a potem zrestartuj apache

Super cos sie zrobilo no ale chyba cos mi zwlalio z sesjami. Bo mialem logowanie i uzywam chyba tych zmiennych globalnych $_SESSION wiec czy wylaczenei register_global wiaze sie z tym ze ni mozna uzywac $_SESSIOn tylko trzeba uzywac session_register

a [manual:b63ffca194]session_start[/manual:b63ffca194] robisz ?

Robie session_start.
Jak mialem wlaczone register_globals to te moje logowanie dziallo a jak wylaczylem to jakos dziwne rzeczy sie staly i nie zadzialalo :|
Uzywam tez do pobrania zmiennych formularza tablice $_POST moze w tym problem. Bo w sumie jak dalem LOGIN to zareagowlao tak jakby nie bylo tych zminnych $_POST :/

możesz zobaczyć w phpinfo()