» »

Administrator spletne strani - login sistem

Administrator spletne strani - login sistem

eric_cartman ::

Pozdravljeni!

Na spletni strani, ki jo delam za naročnika bi rad naredil nek login page, ki bi bil samo za administratorja oz. naročnika, s katerim bi lahko nastavljal pomembna obvestila v smislu: Na dopustu do..; Danes delamo od-do,; Posebna akcija; etc.

Ta obvestila bi se nato prikazala v okencu na home strani. Po potrebi bi jih seveda lahko brisal in dodajal. Kateri bi bil najboljši oz. najmanj kompliciran način da to naredim, pa seveda tudi najbolj varen?

Hvala!

Lp

flyby ::

imaš statično html stran, cms ali kaj drugega?

eric_cartman ::

Torej gre se praktično za vizitka page. Predstavitev podjetja -zasebnik ki se ukvarja z zdravstvom. Ni CMS. Je custom made s pomočjo bootstrapa.

Invictus ::

NAredi povezavo na Google calendar ;).

In izpisuj določene statuse...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

eric_cartman ::

Sem si pogledal. :) Ideja, če bi se šlo za mlade je super, ker se bi znašli. Delam pa stran, ki mora biti zelo pregledna in enostavna, ker bodo gor hodili kvečjemu starejši/stari. :) Torej ne koledar podatkov pač pa en podatek ali 2, ki sta dobro razvidna.

Potem pa vprašanje. Je verjetno najboljše, da v PHPju že vnaprej nastavim geslo/hash in uporabnika. Potem pa bi naredil login page, pri katerem bi samo primerjal hash-e in če se ujemata, te spusti naprej. Če imam prav se tako izognem bazam. Potem pa nastavim, da se token izteče po 1 uri.

Za naprej bi pa to reševal lahko mogoče s PHP include-om? Da se okno prikaže na front endu v kolikor je nekaj vpisano kot obvestilo, sicer okna ni.

Bi to bilo vredu? Ali je tukaj kakšna slabost v tem planu? :D Hvala za pomoč.

Zgodovina sprememb…

Yacked2 ::

eric_cartman je izjavil:

Sem si pogledal. :) Ideja, če bi se šlo za mlade je super, ker se bi znašli. Delam pa stran, ki mora biti zelo pregledna in enostavna, ker bodo gor hodili kvečjemu starejši/stari. :) Torej ne koledar podatkov pač pa en podatek ali 2, ki sta dobro razvidna.

Potem pa vprašanje. Je verjetno najboljše, da v PHPju že vnaprej nastavim geslo/hash in uporabnika. Potem pa bi naredil login page, pri katerem bi samo primerjal hash-e in če se ujemata, te spusti naprej. Če imam prav se tako izognem bazam. Potem pa nastavim, da se token izteče po 1 uri.

Za naprej bi pa to reševal lahko mogoče s PHP include-om? Da se okno prikaže na front endu v kolikor je nekaj vpisano kot obvestilo, sicer okna ni.

Bi to bilo vredu? Ali je tukaj kakšna slabost v tem planu? :D Hvala za pomoč.


Ja... en kup slabosti.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

eric_cartman ::

Okej.. Se pravi kopiram od nekje že nek delujoč sistem za login in ga implementiram. To bo očitno edina izbira. Žal sem začetnik v tem in nekak se moram naučit.. :D¸

Hvala vseeno..

kuall ::

Težko dobit koristno informacijo na tem forumu, ne?
Se nisem nikoli v to na veliko poglabljal ampak:

Tvoja rešitev se mi zdi čist v redu.
Če se hočeš izognit bazam zapisuješ obvestila v html fajle, ki jih potem vključiš s php kodo, paziš, da samo vključi fajl ne tudi executa php kode. Da ne bi uporabnik slučajno napisal kakšne php kode npr ki loopa neskončno.
user:pass pa zapišeš v backend kodo in jo poveš tvojemu naročniku.
če se bojiš da bo nekdo dobil dostop do tvoje backend kode (ne vem zakaj bi) tja not daš hash namesto gesla, iz hasha ne moreš dobiti original gesla.
ampak samo za mala obvestila spreminjat te to ne bi smelo skrbet.
delat hash na clientu pa ni potrebno če imaš https.
če ga nimaš potem na baje sploh ni možno preprečit da bi nekdo tretji se logiral. snifa traffic pa se prijavi s tvojim hashed geslom. v glavnem to ni tako enostavno. sej zato pa so cms najboljša izbira takoj ko rabiš login sistem, da ti ni treba izumljat tople vode.
https://www.w3schools.in/php-script/php...

Zgodovina sprememb…

  • spremenilo: kuall ()

eric_cartman ::

Najlepša hvala za koristno informacijo.. :)

offtopic.../ Je res nekam čudno težko dobit nasvet iz programiranja čeprav skoraj v celoti sestavljajo forum sami programerji. :)

Ice-Heki ::

kuall je izjavil:

... iz hasha ne moreš dobiti original gesla ...

No ja, če se uporabi slaba hash funkcija (npr. md5), potem to sploh ni več težko.

kuall je izjavil:

... delat hash na clientu pa ni potrebno če imaš https ...

Lahko prosim razložiš, kaj konkretno si mislil s tem?

kuall ::

... geslo pretvoriš v hash z javascriptom, ker bi se bal, da ga bo nekdo na enem izmed računalnikov, ki je odgovoren za prenos podatkov po internetu, prestregel s programom, ki lahko vidi ves internetni promet.
ssl pa pretvori vse podatke ki jih pošlješ v neberljivo obliko si predstavljam.
vse to govorim precej na pamet, je delno vprašanje.

Ice-Heki ::

... geslo pretvoriš v hash z javascriptom

Če uporabnik nima vključenega JS, se ne bo mogel prijaviti. Bad UX.
Sicer pa ... v čem je razlika? V obeh primerih boš poslal nekaj do strežnika. Če nekdo prestreže nekaj, to še vedno lahko znova pošlje do strežnika (in ker tvoj strežnik ne pričakuje več gesla, ampak hash, bo pač primerjal hasha in ker bosta enaka, bo rekel, aha, ok, to je pravi uporabnik).

kuall ::

Ice-Heki je izjavil:

... geslo pretvoriš v hash z javascriptom

Če uporabnik nima vključenega JS, se ne bo mogel prijaviti. Bad UX.

a nismo že zdavnaj nehal podpirat uporabnike brez js?

Ice-Heki je izjavil:


Sicer pa ... v čem je razlika? V obeh primerih boš poslal nekaj do strežnika. Če nekdo prestreže nekaj, to še vedno lahko znova pošlje do strežnika (in ker tvoj strežnik ne pričakuje več gesla, ampak hash, bo pač primerjal hasha in ker bosta enaka, bo rekel, aha, ok, to je pravi uporabnik).

ravno to sem trdil v predprejšnjem postu.

Ice-Heki ::

kuall je izjavil:

a nismo že zdavnaj nehal podpirat uporabnike brez js?

Odvisno, kdo so tvoje stranke in kaj delaš. :D

Skratka. Uporabiš https, certifikat lahko dobiš tudi brezplačno (Let's encrypt), za dostop do npr. ene php datoteke / direktorija, ki bo skrbel za urejavalnik, pa se lahko uporabi tudi to, kar že po defaultu ponuja npr. Apache. (in ni treba nič izumljati na novo).


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Šifriranje podatkov v bazi

Oddelek: Programiranje
123277 (2903) SeMiNeSanja
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost
8018879 (15557) BaToCarx
»

php+enkripcija gesla

Oddelek: Programiranje
162198 (1703) Housy
»

Vdor v Wordpress.com

Oddelek: Novice / Varnost
217893 (6665) BigWhale
»

Skrivanje gesel

Oddelek: Izdelava spletišč
393170 (2410) Tr0n

Več podobnih tem