Password para acceso, seguridad basica

Hola:
He terminado una aplicacion y quiero que el acceso a la misma esté restringido por un password.
Como puedo hacer que desde un archivo index se acceda a otro admin.php mediante un password pero que admin.php y los demas archivos en ese directorio no puedan ser accedidos directamente?

Otra pregunta relacionada:
Si alguien desde un servidor externo realiza un include de algun archivo en nuestro dominio (pongamos porque sabe el nombre) y resulta que este archivo contiene info sobre la conexion a la base de datos... no es esto un agujero? como solucionarlo?

Gracias.

ok, tienes una tabla de usuarios. Cada usuario tiene su contraseña. Entonces, haces un script que verifique que el usuario/nick sometido, concuerda con esa contraseña en la base de datos... sino, lo redireccionas a una página de insulto y le dices: "No seas maje, estas metiendo mal los datos o te las tiras de listo.... yo soy más listo que vos". Si el usuario y contraseña se corresponde al compararlos con la tabla, pues le dices bienvenido fulanito o lo mándas de una vez a admin.php. Simple ¿no?.

Ahora, si la seguridad debe ser extrema... puedes incluso validarlo contra IP.

Esto pedro ya lo hice, el problema esta en que la pagina de login esta en: "./" y la pagina admin.php a la que quiero redireccionar al usuario validado esta en "/carpeta/admin.php" y dentro de carpeta hay otros archivos que no quiero que sean vistos, si no cualquiera que entre a "/carpeta/admin.php" desde navegador entraria asi tal cual...

Para eso usa sesiones

en el archivo q cargar q verificas si el usuario y el pass son correctas creas una variable de sesion.. algo asi pro ejemplo

Código :

$_SESSION["usuario"] = "algunValor";

luego en cada pagina q keres restringir podes poner algo asi (debe ir al principio de todo... o sea no debe haber ninguna salida antes.. ya q sino la funcion header tirara un error... para mas info visita www.php.net/header)

Código :

if(!isset($_SESSION["ususario"]) ||  $_SESSION["ususario"] != "algunValor"){
    header("Location: login.php");
    exit();
}

leugo para desloguearte usa esto

Código :

_SESSION=array();
session_destroy();

espero q te sirva

salu2

w3 viendo lo que dices supongo que esta es la forma "sencilla" de poner seguridad con sesiones...
realmente es muy util pero para lo que necesito, en fin, no habria alguna manera de hacerlo sin sesiones?

PD: tengo pendiente aprender sobre webs con sesiones y autenticacion de usuarios, pero de momento me piden prisa para esto...

Muchas gracias a los dos

Realemtne no hay otra formar...

La unica q se me ocurre es poner un login en cada pagina.. pero es ridiculo...

Vos ya tenes un login hecho???

Sí, pero hay tanta prisa que el pass esta en un .txt, YA SE!! es una locura pero como ya digo la seguridad aqui es realmente poco importante. Es por esto que queria restringir el acceso a este directorio para que no se puediera leer este archivo ni entrar directmente.

Como programador tengo que decir y desde aqui protesto: No hagais esto en casa, no hagais chapuzas A NO SER que vuestro jefe os diga: lo quiero YA y como SEA.



Gracias de verdad w3

No uses un txt, solo por que tu jefe te exige algo rápido, solo demuestrale que el experto del tema eres tú, y tu defines los tiempos. En fin, ignorando esa gravísima vulnerabildad, te digo, que un include, desde un server externo, no incluyes el fuente del php, sino el código objeto(lo que ves en el navegador), así que por eso no te preocupes, preocupate por tu txt.


Saludos

Capt.Mahou escribió:

Sí, http authentication, pero yo lo haría con sesiones...

[quote="3w"]Para eso usa sesiones

en el archivo q cargar q verificas si el usuario y el pass son correctas creas una variable de sesion.. algo asi pro ejemplo

Código :

$_SESSION["usuario"] = "algunValor";

Realmente si algun usuario descarga este .php con algun software de descarga podra ver el valor de $_SESSION["usuario"] no?[/img]

Si, pero para eso tu accesa a tu archivo de texto desde tu .php y asignale el valor a una variable, arreglo o haz la busqueda dentro de tu .txt, si sabes C, hay varias formas de hacer busquedas en un txt (y en general en cualquier archivo).

No se si en php puedas usar archivos binarios al igual que en C, pero si fuera así, sería buena opción para la seguridad de tu txt.

Aunque lo mejor sigue siendo una tabla con tus usuarios y tus pass.