Ciao ragazzi sto creando una area di amministrazione e dovrei proteggerla con user e pwd.
Ho trovato questo script:

// Check if and how we are authenticated
if ($_SERVER['SSL_CLIENT_VERIFY'] != "SUCCESS") { // Not using a client certificate
if ((!$_SERVER['PHP_AUTH_USER']) && (!$_SERVER['PHP_AUTH_PW'])) { //
Not logged in using basic authentication
authenticate(); // Send basic authentication headers
}
}
if ($_SERVER['SSL_CLIENT_S_DN_CN'] != "cris")
{ // Check CN name of cert
if (!(($_SERVER['PHP_AUTH_USER'] == "frank") &&
($_SERVER['PHP_AUTH_PW'] == "123")))
{ // Check username and password
authenticate(); // Send basic authentication headers because
username and/or password didnot match
}
}
// Call authentication display
function error401()
{
echo "ATTENZIONE! Si sta cercando di accedere ad un Area

Protetta senza autorizzazione!";
}
function authenticate() {
Header("WWW-Authenticate: Basic realm=Website");
Header("HTTP/1.0 401 Unauthorized");
error401();
exit;
}

Anche se l'ho capito poco sembra che funzioni, fa uscire una finestra di login e controlla l'accesso.
Le cose che non capisco sono:

Ma è normale che debba scrivere lo user e la pwd a mano qui nel file? (frank e 123) non è pericoloso?

Poi questo script l'ho messo dentro la pagina index.php dell'admin,
devo metterlo in TUTTE le pagine dell'admin o basta nell'index?

Oppure devo farne un file da includere nelle pagine ma lasciare poi
questo file fuori dalla root del sito? Se devo fare così dove vado a
metterlo?