metody uwierzytelniania

[ironwall]

siema
a więc robię panel admina i chcę żeby były w nim linki do np newsy galeria linki itp itd żeby można było je edytować.
I teraz pytanie. Jak zrobić żeby do tych "linków" można było odwołać się tylko z tego panelu admina..Normalnie przy formularzu to bym zrobił if(isset
a tak to naprawdę nie wiem. Mógłbym co prawda zrobić edycje tych wszystkich rzeczy na jednej stronie jedno pod drugim ale wolałbym żeby były linki
Proszę o pomoc albo chociaż wskazówkę.

[TQM]

Ehhh ze o co chodzi?!

Jedna rzecz to front-side druga to admin panel, wiec nie wiem w czym jest problem? Mozesz sprecyzowac jakos?

[eMCe]

Jak zrobić żeby do tych "linków" można było odwołać się tylko z tego panelu admina....

znaczy tak po plików znając nazwę i położenie i tak można sie odwołać - teraz musisz sie zabezpieczyć przed tym że tylko admin będzie mógł edytować stronę ;p

metod w sumie kilka.. - ale w śród nich jedna najlepsze i najwygodniejsza - sesie - to tylko groźnie... poczytaj o sesiach w PHP a się sam przekonasz...

http://php.net.pl/manual/pl/ref.session.php

[ironwall]

@tqm - heh wiedziałem że mało kto mnie zrozumie. no to tak - mam panel admina do którego da się zalogować podając odpowiedni login i haslo do tablicy post- to to wiadomo.
No i w tym panelu admina mam linki, po to żeby jak np kliknę na newsy to w dolnej "połówce" strony pojawiały mi się pola do edycji newsów jak kliknę na linki to pole do edycji linków..
No i tu właśnie jest ten problem....
Bo do wyboru mam funckje php typu include albo na framkach zrobić..
No ale na ramkach odpada bo wtedy każdy będzie mógł mógł przejść do na przykład strony edycja_newsow.php
no i to tak samo się ma do funkcji include

Przydało by mi się coś w stylu takim, że załóżmy na stronie edycja_php jest:
if (przychodzisz tu z panelu admina)
{
to możesz edytować niusy
}
else
{
header("index.php");
}



tylko nie wiem jak zrobić to w języku php "if (przychodzisz tu z panelu admina)"

[naichniach]

Tak czy inaczej jeśli nie zrobisz jakoś motywu sprawdzenia czy użytkownik ma uprawnienia do edycji
to niezależnie od tego czy zrobisz include() ,ramki,tabelki,divy or whatever
każdy będzie mógł zmienić zawartość strony
Sessie wygodne bezpieczeństwo w wielu przypadkach zależy
od konfiguracji serwera
więc nie bardzo masz na to wpływ
no ale nie zawsze

[eMCe]

ja tam mam moje skrypty na serwerze skonfigurowanym "na moich zasadach"... dlatego używam sesji

wiec możesz zrobić tak:
w panelu (pliku gdzie mają być linki:
$hash=md5($login.$pass);

w pliku który służy do edycji czegośtam

if($hash=aaaaaaaaaaaaaaaaaaaaaaa){
//i tutaj mechanizm do edycji
} else {
idz sobie
}

metod jest jeszcze wiele - to ma być edycja plików tekstowych czy rekordów w SQL

[TQM]

Prawda jest taka, ze to skad przychodze to moge sobie dowolnie falszowac bo to tylko Referrer zawiera takie informacje, wiec bezpieczenstwo zadne...
Prawda jest taka, ze poprawnie zaprojektowana aplikacja bedzie tak zrobiona, ze kazdy user ma swoje uprawnienia ktore okreslaja co moze on robic...

Jesli tak jest, to wystarczy zwykle zarzadzanie sesjami i jesli user jest zalogowany to ma prawo robic wszystko na co pozwalaja przypisane mu uprawnienia (jaka role pelni w systemie). Cala zabawa polega na tym, ze kazde klikniecie na stronie aby pojsc gdzies indziej oznacza sprawdzenie tych uprawnien i porownanie gdzie znajduja sie opcje ktore user chce wykonac.

Przyklad:
1. loguje sie jako autor newsow - funkcja wyswietlajaca menu administracyjne wyswietla mi opcje: artykuly, dzialy, media, upload, wyloguj
2. loguje sie jako admin - mam to co autor plus konfiguracja, uzytkownicy

Chodzi o to, ze funkcja wyswietlajaca cos musi sprawdzac jakie uprawnienia ma user i odpowiednio sie zachowywac. Co wiecej - jak ktos by nawet skopiowal URL i podal komus innemu, w momencie gdy wejde w konfiguracja majac bedac zalogowany jako 'autor' to system powinien odpowiedziec, ze nie mam uprawnien do tego zasobu.

Kazdy inny wariant bedzie z definicji wadliwy... ten wymaga sporo pracy albo dobrego przemyslenia tematu zanim przystapi sie do implementacji

[ironwall]

@emce edycja rekordow w bazie mysql of course

[eMCe]

to wstaw połączenie tylko w pliku z panelem - i includuj reszte