Ostatnio biore się za pisanie panelu admina do cms, którego jeszze nie ma Najpierw chcę napisać admina potem cms.

No więc do rzeczy, jak zabezpieczyć pliki odpowiedzialne za adminowaine serwisem ?
np. www..../admin/addnews.php

Logowanie do admina bedzie na sesjach z bazy. Jeżeli w pliku addnews.php zamieszcze funckje sprawdzające zmieną sesyjną np z nazwa użytkownika, i jeżeli zmienna będzie pusta to nie pozwoli na dostęp. Oczywiście o zawartości tej zmiennej będzie już decydował sam plik index.php w którym będzie logowanie. Czy takie coś ma szanse przetrwania i będzie spełniało rolę zabezpieczenia ?

Może macie inne pomysły na zabezpieczenie tych plikow ?

Jeśli polegasz tylko na sesji to ja nie widzę najmniejszego problemu - jakbyś się bawił jeszcze w ciasteczka to mógłbyś mieć problem. Ja panel administratora mam tylko na sesjiach, tak jak to opisałeś i myślę, że jest to bezpiczeny sposób. Ale oczywiście mogę się mylić

a sesje to niby co, nie ciasteczka?

Tylko że sesje są trzymane po stronie serwera a nie klienta

sesje to nie ciasteczka
dane sesji są trzymane na serwerze więc są bezpieczne, dodaktowo jeżeli masz taką możliwość możesz zabezpieczyć katalog poprzez .htaccess, deny from all i allow na swoje ip, ale sesje wystarczą w zupełności

@Adiasz :

Dlaczego tak uważasz?
Może akurat masz rację, tylko niestety zapomniałeś podać argumentów

@huntercs @TomASS Chodzilo mi o bezpieczenstwo, tzn ze mechanizm sesji wysyla ciasteczko do urzytkownika z sessionID i co z tego ze wartosc sesji jest przechowywana na serwerze, skoro klucz do niej jest trzymany w ciasteczku. Wiec nie widze dlaczego sesje mialby by byc bezpieczniejsze od samych ciasteczek (napewno sa wygodniejsze), chyba ze sie myle?

@Adiasz :

Taka dyskusja mi się podba Masz rację



Tylko co Ci da ID sesji?

Wydaje mi sie ze w przypadku przejecia ciasteczka z sessionID dostaniemy dostep do tego do czego nie powinnismy miec dostepu :-)

Ciasteczko sessionID administratora zostaje utworzone w momencie poprawnego logowania. Po wylogowaniu sesja wygasa wiec aby przejac sesje admina trzebaby bylo miec dostep do jego komputera w momencie kiedy jest on zalogowany do systemu. To juz chyba latwiej byloby mu zainstalowac w kompie skaner klawiatury i zwyczajnie poznac jego login i haslo

Wystarczy że do sesji dodasz:

[PHP] pobierz, plaintext 
<?php
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
//a na stronie sprawdzisz
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
exit();
?>
[PHP] pobierz, plaintext 

of kors i to sie da obejść ale więcej roboty jest.

Z .htaccess nie ma problemu, ale z ip nie bardzo bo zmienne jest

Zmienie się jeśli sie rozłączysz z netem i połączysz a nie podczas przeglądania internetu. Chyba że chcesz zrobić zapamiętywanie to wtedy musisz coś innego wymyślić.