Salve a tutti
sto creando un sistema di accesso ad un sito, con nick e pass univoco, (solo il proprietario del sito deve accedere per modificare i contenuti) non potendo usare la basic authentication su cui ero più ferrato ho fatto questo script di php per mettere in sicurezza le pagine:
<html>
<body>
<form name="login" action="controlla.php" method="POST">
Nome utente:
<input type="text" name="utente">
Password:
<input type="password" name="password">
<input type="submit" value="Accedi">
</form>
</body>
</html>
questo è il form dove fare il login molto semplice (file:form.html)
<?php
$user='amministratore';
$pass='password';
if($_POST['utente']==$user && $_POST['password']==$pass)
{session_start();
$_SESSION['login']="ok";
header("Location: amm.php");
}else{
header("Location: form.html");
}
?>
Questo è il file controlla.php a cui vengono mandati i file dal form
<?php
session_start();
if ($_SESSION['login'] !="ok"){
header("Location: form.html");
}
?>
questo è il file inclusione.php che includo nelle varie pagine da proteggere.
Il sistema funziona solo che mi chiedo se posso star tranquillo con un tipo simile di protezione..
Esiste la possibilità di leggere il codice delle pagine ed ottenere la password?
Ho letto che esistono programmi per controllare il traffico di rete (es. Ethereal) con un programma del genere è possibile che chiunque possa vedere il codice?
Cosa mi potreste consigliare per rendere più sicuro questo sistema?
Io avevo pensato ad htaccess ma ho il problema che dovrei mettere questi 3 file in una cartella e avrei dei problemi a definire il percorso dei file.
Ho anche notato che alcuni consigliano di rinominare i file ad esempio il file inclusione.php rinominarlo inclusione.inc.php questo rende più sicuro un file? Perchè?
Chiedo scusa se i miei dubbi possono sembrar banali ma non ho trovato molte risposte nel web a queste domande.Ringrazio perciò in anticipo chiunque vorrà darmi delucidazioni o qualche link per chiarirmi le idee.Grazie
Rispondi quotando
