拒绝对目录的http访问,但允许内部服务器访问

时间:2011-02-02 01:16:02

标签: php security .htaccess

首先,我想开始说我对PHP一无所知,所以我很感激能得到的所有帮助。 所以我在godaddy上有一个网站,我为我的客户上传文件。在朋友的帮助下,我创建了一个带有用户名和密码的简单登录系统。问题是虽然在不输入用户名和密码的情况下无法访问网站,但可以通过直接在浏览器中输入完整链接来访问诸如.jpg之类的文件。我希望它是通过用户网页访问文件的唯一方式。此外,我希望每个用户只能访问自己的文件而不能访问其他文件。所以这是我的代码,如果需要进行任何其他更改以避免黑客攻击,我将非常感谢您的输入。

index.php用于输入用户名和密码的表单的文件代码:

<form name="form1" method="post" action="checklogin.php">
            <div class="lefts">
            <p>Login:</p>
            <p>Password:</p>
            </div>

            <div>
            <input name="myusername" type="text" id="myusername" />
            <input name="mypassword" type="password" id="mypassword" />
            </div>

        <div><input type="image" name="Submit" id="submit" value="Login" src="images/submitOff.png" /></div>
</form>

checklogin.php :(如果输入了正确的用户名和密码,则会转到用户名网页。如果没有,则会转到错误的用户名或密码网页

<?php
ob_start();
session_start();
$host="hostname"; // Host name
$username="username"; // Mysql username
$password="password"; // Mysql password
$db_name="dbnamey"; // Database name
$tbl_name="tablename"; // Table name

// Connect to server and select databse.
mysql_connect("$host", "$username", "$password")or die("cannot connect");
mysql_select_db("$db_name")or die("cannot select DB");

// Define $myusername and $mypassword
$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];

// To protect MySQL injection (more detail about MySQL injection)
$myusername = stripslashes($myusername);
$mypassword = stripslashes($mypassword);
$myusername = mysql_real_escape_string($myusername);
$mypassword = mysql_real_escape_string($mypassword);

$sql="SELECT username FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);

//returns false if no results returned
$row = mysql_fetch_row($result);
// If result matched $myusername and $mypassword, table row must be 1 row

if($row){
// Register $myusername, $mypassword and redirect to file
$_SESSION["myusername"] = $myusername;
$_SESSION["mypassword"] = $mypassword;
$myPage = $myusername.".php";
$_SESSION["myPage"] = $myPage;

header("location:".$myPage);
}
else {
header("location:index2.php");
}

ob_end_flush();
?>

username1.php :(包含文件的用户的webapge)

<?
session_start();
if(
//!session_is_registered(myusername)
    !isset($_SESSION["myusername"]) ||
    $_SESSION["myPage"] != basename($_SERVER['REQUEST_URI'])
){
header("location:index.php");
}
?>

<html>
//content that consist of links to the files
<a href="ready/username1/file.png">Png 1</a>
</html>

1 个答案:

答案 0 :(得分:5)

这个脚本的安全性非常糟糕。您不是哈希密码。 header()允许您向HTTP响应头添加元素。 脚本仍然执行。,您无法阻止访问任何内容。更多的是,mysql_real_escape_string()执行addslashes()所做的所有事情。两者都只是告诉人们你不知道他们中的任何一个。您必须开始使用ADODB或PDO库的参数化quires。

使用.htaccess文件阻止访问

Order deny, allow
Deny from all
Allow from localhost
相关问题
最新问题