Olen tehnyt kotisivut missä olen saannut turvallisuutta jonkin verran tehtyä mutta kun kirjaudun sisään ja sitten ulos niin pääsen kirjautumaan sisään takaisin silleen että painan selaimesta edellinen näppäintä! miten tämän saisi estettyä?
ja toinen minkälaiseksi kannattaa muuttaa osoite rivi että se olisi hyvä kuten täällä putkassa. ja miten sen voi tehdä?
kiitos jo etukäteen.
https://www.php.net/manual/fi/function.header.
<?php // Date in the past header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); // always modified header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); // HTTP/1.1 header("Cache-Control: no-store, no-cache, must-revalidate"); header("Cache-Control: post-check=0, pre-check=0", false); // HTTP/1.0 header("Pragma: no-cache"); ?>
Eli yllä oleva pyrkii estämään sivun cachettamisen, jolloin se pitää aina hakea uudestaan palvelimelta.
Cc kirjoitti:
ja toinen minkälaiseksi kannattaa muuttaa osoite rivi että se olisi hyvä kuten täällä putkassa.
Mitä hyvää putkan osoiterivissä on? Siis ei sillä, että se huono olis, mutta mitä tarkoitat hyvällä osoiterivillä?
Osoiterivin muotoilemiseen kannattaa käyttää Apachen RewriteEngineä
Vai tarkoitatko faviconia?
<link rel="shortcut icon" href="favicon.ico">
ajv kirjoitti:
Mitä hyvää putkan osoiterivissä on? Siis ei sillä, että se huono olis, mutta mitä tarkoitat hyvällä osoiterivillä?
tarkoitan hyvällä osoite rivillä sellaista missä ei näy kansiot missä olen niinkus Http://www.jotain.com/admin/ tai jotain vastaavaa vaan näkyisi tyyliin Http://www.jotain.com/alue.php?id=135
EDIT: miten tuota lazun koodia pitäisi soveltaa että se toimisi saan itse ainankin erroria joka riviältä.
No katsotaan miltä kantilta tahansa, niin http://www.jotain.com/admin/ on huomattavasti paljon parempi vaihtoehto, kuin http://www.jotain.com/alue.php?id?135. Miksikö? Hakukoneet seurailevat paremmin ja muutenkin tykkäävät yksinkertaisista osoitteista enemmän, kuin ?php-hässäköistä ja tuo on muutenkin paljon kauniimpi ja selkeämpi, kuin joku ?hhjkfhrewi=12585&file=gteij&%oin=j8oyh
minusta se on jotenkin turvattomamman oloinen kun osoite on Http://www.jotain.com/admin/ kuin http://www.jotain.com/alue.php?id=n1ypon onko asialla minkäänlaista perää vai olenko vain vainoharhainen?
Ei pääsy hallintasivulle saa kyllä olla urlista kiinni. Silloin ollaan kyllä pahasti metsässä.
Olen kyllä suojannut .htaccessilla hallinta sivuni. mutta silti minusta tuntuu että tuo on jotenkin turvattomampi saatan kyllä on vainoharhainen vain. Mutta miten sen kanssa kun kirjaudun hallintasivuiltani ulos niin sisään hallinta sivuille pääsee selaimen edellinen napilla. saa jotenkin helposti estettyä?
Olet vainoharhainen vain :) .htacceess pitää huolen, ettei sinne kansioon muute mene, ainakaan suoraan osoterivin kautta. Tuohon back-nappi ongelmaan auttaa nuo yllä mainitut headerit.
En saannut niitä headereita toimimaan ensin se huuti erroria että headerit on lähetetty jo ja sitten kun vaihdoin koodin paikkaa niin se ei huuda mitään eikä myöskään toimi. :(
miten sen urlin voi muutta joksikin sotkuksi kun siinä on suuri tietoturva aukko kun sivuilleni pystyy vielä kirjautumaan silleen jos tietää jonkin adminin .php tiedoston niin kirjoittaa www.jotain.com/admin/setiedosto.php :S vai pystyykös tämän estämään .htaccessilla jotenkin?
Headerit täytyy laittaa sivulle ennen kuin mitään muuta lähetetään selaimelle. Eli:
<?php echo "ei näin."; header("..."); ?> // Vaan näin <?php header("..."); echo "no nyt on oikein."; ?>
Jos sinulla on jotain include() juttuja, varmista että nuo headerit lähetetään ensimmäisenä.
... tai käyttää puskurointia. Eli sivun alkuun ob_start() ja loppuun ob_end_flush().
En saa toimimaan vaikka mitä yritän niin pääsen selaimen takaisin napista kirjautumaan takaisin sisään. Saako .htaccess teidostoa säädettyä mitenkään silleen ettei sivulle pääse ellei joku toinen sivu kutsu sitä tai jotain vastaavaa ?
Voit tehdä .htaccess-suojatun kansion, johon ei ole kenelläkään mitään oikeuksia, ja sitten voit lisätä siellä olevan php-tiedoston sivulle includella. Muut tiedostot (jos haluat sinne vaikkapa salaisia kuvia) voi myös noutaa sopivilla php-skripteillä (file_pass_through tjsp.). Palvelimella ajettava PHP-skripti pääsee käsiksi suojattuunkin kansioon.
Aihe on jo aika vanha, joten et voi enää vastata siihen.