Авторизация без использования БД. Виден файл паролей из ВЕБ...

[mcpro]

Авторизация без использования БД. Виден файл паролей из ВЕБ...

Сделал авторизацию на странице без БД, т.к. на хостинге где лежит моя страница нет БД. Сохранил пароли в файл.
И теперь при прямом обращении к файлу броузер открывает файл и все пароли как на ладони. Пробывал поставить ограничение с помощью .htaccess, на хостинге это запрещено. Пробывал ограничить доступ через chmod, но тогда скрипт не работает с этим файлом. Перерыл весь инет... не знаю, что мне делать. Все говорят сделай так, сделай так, но ничего не работает!
Хочу простого: чтобы скрипт нормально работал бы с простым файлом без расширения, но при этом никто не мог бы обратиться к нему на прямую.

А может я...?
Зарание спасибо!

 

[Нечто]

mcpro
Во-первых, не храни пароли в чистом виде, а храни их хэши (md5, например). Во-вторых все зависит от формата, в котором ты хранишь. Например, если хранить все как php-код, то никто не сможет достать твои пароли по http, если ты сам их не echo.

 

[mcpro]

Я храню их в файле passwr без расширения.
А php файлы я не смогу потом дописывать новых юзеров. Просто не знаю как!
Насчет md5 я почему-то не подумал, за это спасибо! Но все равно не приятно, что даже в таком виде их кто-то может наблюдать!

 

[jrip]

Народ, а я в таких случаях присваивал файлу с паролями имя, состоящее из случайных символах. Как вам такой подход?

 

[mcpro]

В смысле?
То есть на халяву набираешь имя файла?
Типа f5dsfdsAssdREW5.dat?
Но имя файла все равно остается постоянным!
Может все таки есть еще варианты?

 

[Нечто]

mcpro

А php файлы я не смогу потом дописывать новых юзеров. Просто не знаю как!

1) создаешь массив пользователь=>пароль
2) функцией var_export делаешь из него php-код
3) сохраняешь этот код в файле passwr.php
4) подключать это дело можно через include/require файла passwr.php

 

[jrip]

ну дык... остаётся оно постоянным, ну и что? Угадать его нереально+там хранить хеш.

Есть вариант создать файл passr.php
<?
$pass1='pass1';
$pass2='pass2';
?>
и потом его инклудить....

-~{}~ 22.01.05 22:25:

Нечто
сорь, когда писал не видел ещё твоего ответа.

 

[mcpro]

Да, я об этом думал!
Но как потом с помощью другого скрипта дописать еще одну пару другую?
Объясни по подробней на примере пожалуйста!

 

[jrip]

mcpro
ну грубо говря можно же и вот так, например пароли хранить:
<?
$pass1='
pass1
';
$pass2='
pass2
';
?>

А потом тупо по строкам файл считывать... но эт самый простой и глупый, наверное, вариант

 

[mcpro]

но эт самый простой и глупый, наверное, вариант


согласен!

 

[jrip]

mcpro
ну дык, а в чём проблема-то? Можно считывать по строкам и с помощью регулярного выражения их вытаскивать... а с записью то вообще всё просто должно быть.... ну т.е. сначала считываешь все пароли. если нужно чтот изменить, то файл создаёшь по новой и все записываешь...

Кстати, а что за проблема у тебя с файлом без расширения? Почему он здесь не подходит?

-~{}~ 22.01.05 22:44:

сорь последнее мой высказывание - глупость... кстати, а ты не можешь хранить файлы выше корня сайта?

 

[mcpro]

Выше корня сайта?
Там где тестирую страницу - могу, а там где она окажется в конечном счете - там не могу!

А с файлом все нормально, просто хотел его замаскеровать как следует и все!

Наверное прийдется сделать ПХП файл. При считывании убирать первую и последнюю строки (<?php и ?>), и еще все это дело, каждую строку, закодирую в MD5.

Как считаете, поможет?
И еще назову его как нибудь не имоверно!

 

[Нечто]

mcpro
Слушай, ну что ты мучаешься?
Сказал же: инклюдишь pass.php и получаешь все пароли в массиве, изменяешь его, как хочешь, а потом var_export и кладешь в файл.
Кода -- на 2 строчки.

 

[mcpro]

Оки, так и сделаю, спасибо!

 

[jrip]

mcpro
Да если в файле будет 5 случаных букв (ещё и разного регистра) То даже, если кто-то и узнает, что в данном каталоге лежит такой файл и начнёт угадывать, то наврятли быстро угадает... + можно создать каталог тоже со случайным названием и в него положить файл с паролями + хеш. И имхо можешь быть спокоен из веба пароли твои уже наврятли узнают...

 

[Фанат]

топик из тех, что поражают глубиной ума.
как вопрос, так и ответы.

 

[Нечто]

Фанат, ага, а теперь с кое-чьей подачки здесь есть еще и флейм.

 

[jrip]

Фанат
Да ладно тебе. лично я просто сказал все мне известные варианты решения... и ничего не советовал.....

А что ты посоветуешь ему сделать?

 

[dmitrybelyakov]

Автор оригинала: Фанат
топик из тех, что поражают глубиной ума.
как вопрос, так и ответы.

супер

 

[Сенсей]

положи файл выше каталога www