Авторизация по файлу

mywap.ru

541

iNeeXT 05.05.2012 / 00:28
Пришелец

В файле например держи md5, в базе `password`. Когда происходит авторизация - проверяет и определяет результат, это все просто.

Добавлено через 01:51 сек.
Сейчас накатаю быстренько пример

ramzes 05.05.2012 / 00:50 Автор
2000 лет д.н.э.

21. iNeeXT, ты не понял.
в файле нет вообще ни чего относящегося к аккаунту.
ни пароля, ни его хеша
сам файл и есть пароль

Игорь 05.05.2012 / 00:52
Оранжевые штаны

22. ramzes, Random символы, затем запоминаем хэш этого файла?

ramzes 05.05.2012 / 00:54 Автор
2000 лет д.н.э.

<?
            if($_FILES['verify']['type']=='image/png'){
                $prov = $sql->query("SELECT id, password, verify FROM users WHERE verify = '".md5(md5_file($_FILES['verify']['tmp_name']))."';")->fetch_assoc();
                if($prov['verify']!=''){
                    $_SESSION['my_id'] = $prov['id'];
                    $_SESSION['my_pass'] = cript($prov['password']);
                    SetCookie('my_id', $_SESSION['my_id'], (time()+(3600*24*365)), '/', '.'.$_SERVER['HTTP_HOST']);
                    SetCookie('my_pass', $_SESSION['my_pass'], (time()+(3600*24*365)), '/', '.'.$_SERVER['HTTP_HOST']);

                    Header("Location: /");
                }else{
                    $_SESSION['error'] = 'Ключ не действителен!';
                    Header("Location: ./");
                }
            }else{
                $_SESSION['error'] = 'Неподходящий файл!';
                Header("Location: ./");
            }

        }else{
                $_SESSION['error'] = 'Неверный запрос!';
                Header("Location: ./");
            }

MrPink 05.05.2012 / 00:55
Пришелец

20. ramzes, представляешь сколько там генерить? Пароли же у тебя не подбирают, хотя там намно меньше вариантов

ramzes 05.05.2012 / 00:55 Автор
2000 лет д.н.э.

23. rezent, тогда не получится идентифицировать по файлу, все внешние ключи не известны при авторизации. есть только фал.
хотя... натолкнул на мысль smile

у файла есть еще один постоянный параметр))

Добавлено через 01:37 сек.
25. MrPink, вот я об этом и спрашивал smile

на сколько это трудно

MrPink 05.05.2012 / 01:03
Пришелец

26. ramzes, ну смотри, если ты будешь делать файлы по 100 байт, то надо будет перебрать до 256^100 вариантов

ramzes 05.05.2012 / 01:09 Автор
2000 лет д.н.э.

27. MrPink, 500байт примерно.
но я все таки придумал соль откуда брать smile

(я опасался того что md5 как известно все таки может выдать идентичный хеш на две совершенно разных строки)

Добавлено через 02:42 сек.
Всем спасибо за советы, с меня плюсы smile

rezent'у правда пока не могу поставить, придется повременить*пардон*

iNeeXT 05.05.2012 / 01:18
Пришелец

22. ramzes, по твоему скрипту название файла и есть пароль

а я сделал как на хабре)
http://lorinz.ru/213/

ramzes 05.05.2012 / 01:19 Автор
2000 лет д.н.э.

29. iNeeXT, ты уверен что понял мой код?;)
я уверен что нет smile

ты в бд хранишь содержимое файла (по 1 для каждого юзера) по факту содержимое этого файла - тот же пароль, только еще и не шифрованный.
кстати я уже сейчас вижу уязвимость в твоем подходе (баг влекущий ненадежность всей системы авторизации)

				$extension = array('key');
				if (!in_array(pathinfo($file, PATHINFO_EXTENSION), $extension))

еще момент.
зачем это?
пусть юзер хранит файл как ему нравится. расширение роли не играет файл все равно не наследует расширение после аплоада

Изменил: ramzes (05.05.2012 / 01:25)

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск