Лови пример на PHP (index.php, authorize.php,secretpage1.php,secretpage2.php)
Любая защищённая страница должна содержать в начале (без пустых строк, т.е. в самом начале) код:
<?php
unset($logged_user,0);
session_start(,0);
if(!isset($_SESSION['logged_user'])){
header("Location: index.php",0);
exit;
}
?>
и потом что тебе хочется.
Меняешь:
1. $SERVER_ROOT на имя своего сервера (в файле authorize.php)
2. "user" (в файле authorize.php)
3. "password" (в файле authorize.php)
==============
authorize.php
==============
<?php
if (array_key_exists('user_name',$_POST)) $user_name=$_POST['user_name']; else unset($user_name,0);
if (array_key_exists('user_pass',$_POST)) $user_pass=$_POST['user_pass']; else unset($user_pass,0);
session_start(,0);
$SERVER_ROOT = "http://your.server";
if ( (array_key_exists('HTTP_REFERER',$_SERVER)) && (eregi("^$SERVER_ROOT",$_SERVER['HTTP_REFERER'])) ) {
if (array_key_exists('Submit',$_POST) ) {
/*****************************/
/* Authorization begin !!! */
/*****************************/
if ( ($user_name=="user") && ($user_pass=="password") ) {
/*****************************/
/* Authorization end !!! */
/*****************************/
$_SESSION['logged_user'] = $user_name;
header("Location: secretpage1.php",0);
exit;
}
}
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Frameset//EN"
"http://www.w3.org/TR/REC-html40/frameset.dtd">
<html>
<head>
<META http-equiv="Default-Style" content="Normal">
<title>Wrong authorization!!!</title>
</head>
<body>
You supplied a wrong password!
<a href="index.php">Back</a>
</body>
</html>
==============
index.php
==============
<?php
if (array_key_exists('Logout',$_POST)) {
session_start(,0);
$_SESSION = array(,0);
session_destroy(,0);
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Frameset//EN"
"http://www.w3.org/TR/REC-html40/frameset.dtd">
<html>
<head>
<META http-equiv="Default-Style" content="Normal">
<title>Protected Area</title>
</head>
<body>
<form action="authorize.php" method="post">
Login: <input type="text" name="user_name">
Password:<input type="password" name="user_pass">
<input type="submit" name="Submit">
</form>
<a href="secretpage1.php">secret page 1</a>
<a href="secretpage2.php">secret page 2</a>
</body>
</html>
==============
secretpage1.php
==============
<?php
unset($logged_user,0);
session_start(,0);
if(!isset($_SESSION['logged_user'])){
header("Location: index.php",0);
exit;
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Frameset//EN"
"http://www.w3.org/TR/REC-html40/frameset.dtd">
<html>
<head>
<META http-equiv="Default-Style" content="Normal">
<title>Protected Area. Page 1</title>
</head>
<body>
Hallo, <?php echo $_SESSION['logged_user']; ?>, you are on the secret page 1 :)
<a href="secretpage2.php">secret page 2</a>
<form action="index.php" method="post">
<input type="submit" name="Logout" value="Logout">
</form>
</body>
</html>
==============
secretpage2.php
==============
<?php
unset($logged_user,0);
session_start(,0);
if(!isset($_SESSION['logged_user'])){
header("Location: index.php",0);
exit;
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Frameset//EN"
"http://www.w3.org/TR/REC-html40/frameset.dtd">
<html>
<head>
<META http-equiv="Default-Style" content="Normal">
<title>Protected Area. Page 2</title>
</head>
<body>
Hallo, <?php echo $_SESSION['logged_user']; ?>, you are on the secret page 2 :)
<a href="secretpage1.php">secret page 1</a>
<form action="index.php" method="post">
<input type="submit" name="Logout" value="Logout">
</form>
</body>
</html>

В ответ на:

---

Ты думаешь, что я этим хэшем размахиваю, ведь это всего лишь хэш?

---

Вот именно. И я просил вас расшифровать d39efe1ce1f49e4c3d96b079c410417f
Ответ пока не получил.

В ответ на:

---

А то, что если бы ты пароль не сменил и не сказал его всем, я всё равно имел бы твой сайт. katyuxa, скажу я тебе, был неудачным вариантом пароля

---

Это вообще не понятно. Когда это он у меня был? Я вроде на всю лажу общественного пользования как раз uuuuu и ставлю.

В ответ на:

---

Твой сайт это неуловимый Джо

---

Мой сайт или мой пароль? Зачем путать людей которые нас пытаються читать.

В ответ на:

---

включил бы один из отключенных в данный момент модулей, который имеет дыру

---

Пожалуйста конкретней. Дальше по тексту вообще. Если-бы да ка-бы. Пока не расшифруете d39efe1ce1f49e4c3d96b079c410417f
ни одному вашему слову не верю. Открытый код - это в том числе и открытое, всеобщее, заделование дыр. В виндосе дыр полно. А сколько стоит? 500 баксов? А нюк бесплатный!
Если я соберусь хранить на сайте что-нибудь секретное я думаю что я найду способ как это сделать.
Например так: http://playgirl.h14.ru/sqladm
Спасибо огромное за науку. Теперь я на улицу, да что там на улицу - в туалет, только в бронежелете, а то вдруг сунут нож в ребро. Хотя, наверное нет. Дорогой он слишком этот бронежелет. А сайты на основе Нюка бесплатны! Поэтому просто усложню пароль. Например: оанеЕАНнк53цф.
http://russiangirl.h10.ru

Люди вы чё! Не помните про .htpasswd ведь там всего-то нужно прописать одну строку :
miltorg:LujdhgyfyyvEc
И вылезит табличка. И всё будет.ОК. Хотел пример привести. Щас спрошу и модератора.
Благословление получено:
http://playgirl.h14.ru/sqladm
http://russiangirl.h10.ru

> Это вообще не понятно. Когда это он у меня был? Я вроде на всю лажу общественного пользования как раз uuuuu и ставлю
Товарищ, я заявляю, что после твоего первого сообщения на этом форуме, когда я через пять минут убедился что дыра не закрыта, я получил логин miltorg и хэш, который от нечего делать скормил брутфорсеру, который мне полторы недели перебор делал и выплюнул пароль katyuxa. Когда ты второй раз пропиарил свой мегапортал, ты сменил пароль для пользователя miltorg на uuuuu и выложил его здесь. Tы, конечно, сейчас можешь делать круглые глаза и утверждать, что я вру, но ты пойми одну вещь, меня абсолютно не заботит мо╦ "лицо", поэтому это мо╦ последнее сообщение на тему твоих паролей. Доказать то, что ты сейчас нагло лж╦шь я уже, естественно, не могу. Я очки здесь не набираю, поэтому кому надо, тот поверит.
>Вот именно. И я просил вас расшифровать d39efe1ce1f49e4c3d96b079c410417ф
Ты уж определись на ты или на вы ты со мной разговариваешь. Ты меня, наверно, идиотом считаешь? Это может быть хэш к паролю, полный перебор которого в разумные сроки не уложится. Mля, меня задрало повторять одно и тоже, почитай внимательно о ч╦м я писал, о том ли, что можно md5 хэши легко ломать или о том, что ньюк дыряв и, как следствие, если админ туп и использует простые пароли их реально в разумное время подобрать, а поэтому ньюк не то, что можно рекомендовать как портал.
>Мой сайт или мой пароль? Зачем путать людей которые нас пытаються читать.
Твой сайт. Это я путаю??? Я пишу всегда только то, что знаю и в ч╦м уверен. Ты своими вредными советами с твоим пхпньюком, вводишь в заблуждение.
>Открытый код - это в том числе и открытое, всеобщее, заделование дыр. В виндосе дыр полно. А сколько стоит? 500 баксов? А нюк бесплатный!
Я и вижу как ты заделал то, что я тебе показал. Перефразируй лучше: "я не в состоянии ничего написать, поэтому взял пхпньюк, я абсолютно не в теме, поэтому не знаю, что такое безопасность -- не читаю даже багтрека, иначе знал бы, что выбирать надо что-то другое, до меня не доходит, что такие мелочи как стойкий пароль важны, поэтому пользовался простым паролем, пока жареным не запахло, и я настолько туп, чтобы искать работу вебразработчика, при этом демонстрируя всем собственный сайт с незакрытой дыркой, закрыть которую стоит одна минута."
Выпей йаду, ламеры должны сдохнуть.
>Спасибо огромное за науку.
Приходи ещ╦.

Могу подписаться под каждым словом voxel3d. Он совершенно прав. Не стоит тут кричать "сам дурак", а просто прислушайся к советам.

Правильно а еще прислушиваться к его советам и параллельно чинить - секретить и отрубать ненужные и дырявые модули
---
компьютерные новости: http://www.pc-mixx.de

Я прислушался. Я ведь писал что буду ставть более замысловатые пароли. По мере сил поищу что говорят по поводу этой уязвимости. Но рвать на себе волосы, из-за того что кто-то что-то там наделает моему хостенгеру, если будет подключен модуль, и если бабушка на двое расскажит :-), я не собираюсь. У хорошего хостенг╦ра в автоматически устанавлеваемых программах всегда есть Нюка. Кроме того, когда я беру хостинг я всегда указываю что я буду туда ставить. И если меня не предупредили - я чист.
Повторяюсь: А вот тот кто будет пытаться взламывать сайт попадает под уголовную ответственность. По крайней мере в России.
http://russiangirl.h10.ru

1 Через модуль с дырками сайт могут снести как два пальца об асфальт. Недавно почти месяц сносили один популярный варезный сайт.. каждые 4-5 часов ... и продолжалось это минимум пару недель. Так что тут дело не в пароле - а в самом нюке. если уже и ставить нюку то и всё время следить за обновлениями.
2 Поломав сайт можно поломать и прова. Правда всё зависит от самого прова и его компетентности в безопасности.
3 Про ответственность тут не говорят. тут просто предупреждают что может случится...
---
компьютерные новости: http://www.pc-mixx.de

>А вот тот кто будет пытаться взламывать сайт попадает под уголовную ответственность. По крайней мере в России.
Ржунемогу... Ага! Моя милиция меня бережет.
Эта ответственность есть в большенстве стран, только оно все на бумаге.
Поверте, если Вас взломают и снесут все нафиг, никто даже не пошевелится.
Я думаю, в наше время нет ни одного человека так или иначе нарушающего закон.
Так что этим Вы никого не запугаете. Пожалуй качать нелегально с нете поопаснее будет, чем взламывать Вашу страницу.
<!-- автоподпись begin -->
бываю злой... игнорируйте, я несерьёзно...
<!-- автоподпись end -->

Милиция в России ловит только скудоумных воришек диалаповых паролей, багаж знаний которых составляет лишь слово TCP/IP. Ещ╦ ни один настоящий хакер, не был пойман, насколько мне известно. Зато когда они залавливают вышеозначенный континдент, то можно уписацца, читая рапорт о данном событии.
---
Идиотов и фриков перевоспитать невозможно!

Люди вы чё! Не помните про .htpasswd ведь там всего-то нужно прописать одну строку :
miltorg:LujdhgyfyyvEc
---------
Гений!!! Теперь все тоже самое но под PWS, WebLogic и... всю полсотню популярных написать? или написать новый сервер, кушающий РНР?
<--- nobody harmed in this action -->