[Qwe1]

При моей авторизации проверка пароля осуществляется один раз, а потом проверяется лишь "флажок" - авторизация пройдена. Если вставлять код из первого поста везде, где надо авторизироваться, то каждый раз будет осуществляться проверка, что связано со считыванием файла и перебором (или выборкой из БД). Если паролей мало, то это еще терпимо, если много - то лишняя трата времени и ресурсов. Но в любом случае, лучше стремиться к оптимальному алгоритму авторизации...

[vadimiron]

Qwe1
Да, но файл, который должен быть защищён пока только один, а если их много появится?? Тогда будете копировать страницу авторизации для каждого файла?

[Qwe1]

vadimiron
Зачем? В каждый защищенный файл вставляется проверка "флажка": см. пост 7!

[vadimiron]

Цитата:

Header("Location: edit.php");

Но из авторизации идёт прямое перенаправление на защищённый файл!!!
как вы переправите на другой защищённый файл?? можно конечно параметрами передовать, но данный метод авторизации используют в основном так как я сказал.

[vadimiron]

И кстати файл в одном случае называется edit.php, в другом - editnews.php
Ещё раз перепроверьте весь код и в крайнем случае здесь киньте

[Qwe1]

Да-да, все верно - буду инклюдить! Только не понятно - как без сессий-то обойтись?

Я делаю так: в самое начало файла, который должен быть защищен, вставляю код:

PHP код:

<?

require "auth.inc";

if((session_is_registered("auth") == false) || (@$auth != 1))

{

  unset($PHP_AUTH_USER); // не работает

  Header("HTTP/1.0 401 Unauthorized"); // вместо этого можно сделать редирект на $_SERVER['HTTP_REFERER']

  exit;

}

<...>

?>

Содержимое файла "auth.inc":

PHP код:

<?

if(!isset($PHP_AUTH_USER))

{

  Header("WWW-Authenticate: Basic realm=\"Private\"");

  Header("HTTP/1.0 401 Unauthorized");

  echo "<p>Авторизация отменена пользователем!</p>";

  exit;

}

else

{

  // Сравниваем введенные значения с парой логин-пароль из файла с паролями

  session_start();

  session_register("auth");

  $auth = 0;

  foreach(file("passw/passw") as $k)

  {

    if(trim($k) == "$PHP_AUTH_USER $PHP_AUTH_PW")

      $auth = 1;

  }

}

?>

1) Теперь правильно?
2) Хочу сделать так, чтобы после неверного ввода Л/П можно было бы опять вводить Л/П - но unset($PHP_AUTH_USER); не помогает...

[vadimiron]

Не, проверка $auth в защищённом файле вообще не нужна, всю логику авторизации должен выполнять auth.inc

PHP код:

if(!isset($PHP_AUTH_USER))

// пользователь неизвестен

{

    Header("WWW-Authenticate: Basic realm=\"Admin Center\"");

    Header("HTTP/1.0 401 Unauthorized");

               exit("Вы либо неправильно вводите Ваши имя и пароль, которые задали при регистрации,  либо ещё не зарегистрированы.<br>Зарегестрироваться можно прямо <a href='reg_user.php'>здесь</a>");

}

else // пользователь известен, неизвестен пароль

{

    

    $auth=0;

    // просмотр файла 

    foreach(file("passw/passw") as $k) 

   { 

        if(trim($k) == "$PHP_AUTH_USER $PHP_AUTH_PW")  

        {

                $auth = 1; 

                break;

         }

   } 



    if ($auth!=1)

    {

        Header("WWW-Authenticate: Basic realm=\"Admin Center\"");

    Header("HTTP/1.0 401 Unauthorized");

                exit("Вы либо неправильно вводите Ваши имя и пароль, которые задали при регистрации,

            либо ещё не зарегистрированы.<br>Зарегестрироваться можно прямо <a href='reg_user.php'>здесь</a>");

       

    }



} 

B всё - сам файл будет исполнятся, если была произведена авторизация, если же, будет срабатывать exit

[Qwe1]

А, ну да, точно! Спасибо!

Но, все же, постоянная проверка логина и пароля, вместо "флажка", пожалуй, не очень хорошо!?