html-pagina beveiligen met phpbb logins

[mosymuis]

In een PHP pagina kan je zonder meer HTML gebruiken, sterker nog, dat is standaard. Je kan pas met PHP beginnen als je de <? .. ?> tags gebruikt. Dit kan dus:

Code: Selecteer alles

<html><head></head><body>

blabablabla

<?

if ( sjhdjs == 'sds' ){

  ...

}

?>

blablabla

</body></html>

[waxman]

ik denk da je het verkeerd zegt, kan dat?
jij zegt dat html in php kan

maar;.. je geeft een voorbeeld van php in html (andersom dus)

maar ik denk dat ik het gevonden heb hoe het moet

<?php

include "mijn veilige pagina.html";

?>

kan men zo achter de url komen van die html-pagina?
ik heb al even gezocht via Bron enz maar ik vind niets, ben ik juist?

[mosymuis]

ik denk da je het verkeerd zegt, kan dat?
jij zegt dat html in php kan

maar;.. je geeft een voorbeeld van php in html (andersom dus)

Nee, dat wat ik liet zien moet een .php bestand zijn, in HTML kan dat niet. Wat ik zei klopte echt.

maar ik denk dat ik het gevonden heb hoe het moet

<?php

include "mijn veilige pagina.html";

?>

De include functie klopt, maar ik heb er mijn twijfels over of je wel .html bestanden kunt includen...

kan men zo achter de url komen van die html-pagina?
ik heb al even gezocht via Bron enz maar ik vind niets, ben ik juist?

Klopt op zich, php source kan je online nooit bekijken omdat de server de code locaal uitvoert en enkel HTML verstuurt.

[waxman]

ik kan men html includen hoor

heb ik hier gevonden:
http://www.websitemaken.be/cursus.php?id=php4

dus gewoon
include "html";


nu... ik heb nog een vraagje...
wat ik nu dus heb gemaakt, vooral dankzij mosymuis (thanks!!)
is een html pagina die beveiligd is door het inlogkader van men phpbb

DUS je moet geregistreerd zijn om de html te zien...
nu nog iets...

zou ik kunnen bepalen WIE die html kan zien na het inloggen (alleen bij die beveiliging, niet bij phpbb)
dus niet iedereen die geregistreerd is mag die html-pagina zien...

kan dit?

bv: geregstreerden phpbb= jan, piet, jos en jeroen
crewleden= jan en piet
beveiligde pagina bekijken= jan en piet
mogen beveiligde pagina NIET bekijken= jos en jeroen

[mosymuis]

Tuurlijk kan dat...

Code: Selecteer alles

if ( !in_array($userdata['username'], array(jan, piet)) )
{

	redirect(append_sid("index.$phpEx", true));

}

[waxman]

Tuurlijk kan dat...

Code: Selecteer alles

if ( !in_array($userdata['username'], array(jan, piet)) )
{

	redirect(append_sid("index.$phpEx", true));

}

dus ik vul gewoon de gebruikersnamen zoals ze in het forum komen bij array... bangelijk!

moet dat in de login2.php dan? (ik vermoed van wel)

[mosymuis]

dus ik vul gewoon de gebruikersnamen zoals ze in het forum komen bij array... bangelijk!

Euh, ja. Degenen die de pagina wél mogen zien zet je erin. Als er meer personen zijn die hem wel mogen zien draai je de array om, je moet dan de ! voor in_array weghalen en de array invullen met mensen die de pagina niét mogen zien.

moet dat in de login2.php dan? (ik vermoed van wel)

Euhm, dit moet je in de .php pagina zetten waar je het beveiligde bestand include.

[waxman]

ok, ik voel dat ik er bijna ben... 8)

if ( !in_array($userdata['username'], array(jan, piet)) )
{

redirect(append_sid("index.$phpEx", true));

}

kan hier nog een "else" bij die mensen, die wel geregistreerd zijn in phpbb en dus kunnen inloggen, een andere pagina laten zien?
ev. html weer met een include (bijvoorbeeld: "sorry, u hebt hier geen bevoegdheid voor")

[waxman]

Fatal error: Call to undefined function: redirect() on line 6

en line 6=
redirect(append_sid("index2.$phpEx", true));

?

[mosymuis]

Een else schrijf je simpelweg zo;

Code: Selecteer alles

if ( !in_array($userdata['username'], array(jan, piet)) ) 
{ 

   redirect(append_sid("index.$phpEx", true)); 

} else { 

   redirect(append_sid("blaat.$phpEx", true)); 

}

maar als je wilt laten kijken of de mensen zijn ingelogd moet je dit gebruiken:

Code: Selecteer alles

if ( !$userdata['session_logged_in'] || $userdata['user_id'] == '-1' ) {

	redirect(append_sid("login2.$phpEx?redirect=notes.$phpEx", true));

} elseif ( !in_array($userdata['username'], array(jan, piet)) ) {

	redirect(append_sid("index.$phpEx", true));

}

hierbij worden ze doorgestuurd naar login2.php wanneer ze niet zijn ingelogd, en naar index.php wanneer ze niet in de array staan.

[waxman]

Fatal error: Call to undefined function: redirect() in line 6

Code: Selecteer alles

<?php

if ( !$userdata['session_logged_in'] || $userdata['user_id'] == '-1' ) 
{ 

   redirect(append_sid("login2.$phpEx?redirect=notes.$phpEx", true)); 

} else { 

	if ( !in_array($userdata['username'], array(waxman)) ) 
	{ 

  	 redirect(append_sid("beveiligd.$phpEx", true)); 

	} else { 

  	redirect(append_sid("sorry.$phpEx", true)); 

	}
    
}

?>

notes.php??? heb ik niet

[mosymuis]

Aah... is dat de volledige pagina?? Nee, dat werkt niet, ik ging ervan uit dat je hem in de blank page template had gebouwd. Nu vraag je functies en variabelen op die phpBB hem moet verlenen. Vervang het eens met dit:

Code: Selecteer alles

<?php 

define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx); 
init_userprefs($userdata); 

if ( !$userdata['session_logged_in'] ) {

   redirect(append_sid("login2.$phpEx?redirect=secure.$phpEx", true));

} elseif ( !in_array($userdata['username'], array(jan, piet)) ) {

   redirect(append_sid("index.$phpEx", true));

}

include "secure.html"; 

?>

, ervan uitgaande dat deze php pagina secure.php heet en het html bestand secure.html. Deze moeten allebei in de phpBB root staan. In principe kan je secure.html ook helemaal weglaten, als je

Code: Selecteer alles

include "secure.html";

?>

vervangt voor dit

Code: Selecteer alles

?>

<html>

*blaat*

</html>

en daar dus secure.html in plakt. Dat is pas echt 100% veilig, omdat mensen secure.html ook los kunnen bekijken als ze dat URL te weten komen.

[waxman]

ik gebruik nu dit

Code: Selecteer alles

<?php 

// standard hack prevent 
define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx); 

// standard session management 
$userdata = session_pagestart($user_ip, PAGE_TEMPLATE); 
init_userprefs($userdata); 

if ( !$userdata['session_logged_in'] ) { 

   redirect(append_sid("login2.$phpEx?redirect=secure.$phpEx", true)); 

} else if ( !in_array($userdata['username'], array(waxman,)) ) { 

   	redirect(append_sid("secure.$phpEx", true)); 
   } else { 

    	 redirect(append_sid("sorry.$phpEx", true)); 

   } 


include "secure.html"; 

?>

en als ik inlog kom ik op "sorry" uit...
dus er klopt nog iets niet... maar wat??

als met andere naam (niet in array) inlog is ook sorry (moet zo zijn)

[mosymuis]

Lol, je begijpt me nog steeds niet goed...

Redirecten naar secure.php slaat nergens op, omdat dit al je secure.php ís. En het toevoegen van een else naar sorry.php was ook niet nodig geweest, je had index.$phpEx gewoon kunnen vervangen naar sorry.$phpEx en dan had het gewerkt. Nu klopt het niet omdat de combinatie van elseif en else in dit geval hetzelfde resultaat oplevert.

Gebruik dus mijn script 2 posts hierboven en verander alleen dit laatste.

[waxman]

hellow,

ik heb het allemaal iets simpelder gemaakt

een loginxtra.php gemaakt met daarin:

Code: Selecteer alles

<? 

define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx); 

// 
// Start session management 
// 
$userdata = session_pagestart($user_ip, PAGE_INDEX); 
init_userprefs($userdata); 
// 
// End session management 
// 
if(!$userdata['session_logged_in']) 
{ 
    redirect("login.$phpEx?redirect=secure2.$phpEx", true);
} elseif(!in_array($userdata['username'], array(waxman)) ){
	redirect("sorry.$phpEx", true);
} 


?> 

alles werkt BEHALVE
de mensen die in de array staan mogen naar de beveiligde pagina
en de mensen die er niet instaan moeten naar de "sorry.php"

nu is het zo dat iedereen die inlogt naar de beveiligde pagina gaat,
dat zou dus nog moeten veranderen zodat
mensen die in de array staan WEL doorgaan
de rest gaat naar sorry.php

kan iemand me helpen please?

[mosymuis]

Misschien werkt dit?

Code: Selecteer alles

if(!$userdata['session_logged_in'])
{
    redirect("login.$phpEx?redirect=secure2.$phpEx", true);
}
if(!in_array($userdata['username'], array(waxman)) )
{
   redirect("sorry.$phpEx", true);
}

in plaats van dit

Code: Selecteer alles

if(!$userdata['session_logged_in'])
{
    redirect("login.$phpEx?redirect=secure2.$phpEx", true);
} elseif(!in_array($userdata['username'], array(waxman)) ){
   redirect("sorry.$phpEx", true);
}

[waxman]

nope,

als ik inlog met iemand die het wel mag zien (waxman) dan kom ik op secure2.php uit (en dat is dus juist)

maar als ik inlog met een andere geregistreerde die het niet mag zien (dus niet tussen die haakjes staat bij array) komt die ook uit op de secure2.php

die laatste zou dus naar sorry.php moeten...

[mosymuis]

Is ook logisch... je moet hem dan ook niet naar secure2.php verwijzen maar naar secure.php, omdat in die 2e geen controle zit. Ben dan ook niet zo eigenwijs en doe het gewoon zo;

In principe kan je secure.html ook helemaal weglaten, als je

Code: Selecteer alles

include "secure.html";

?>

vervangt voor dit

Code: Selecteer alles

?>

<html>

*blaat*

</html>

en daar dus secure.html in plakt. Dat is pas echt 100% veilig, omdat mensen secure.html ook los kunnen bekijken als ze dat URL te weten komen.

Maw, zet die "beveiligde" inhoud in hetzelfde bestand zelf en je bent van het gezeur af.

[waxman]

sorry, ik snap er niets meer van
ik probeer te doen wat je zegt maar omdat ik niets van php ken is het niet echt gemakkelijk.

secure.php

Code: Selecteer alles

<?php 

define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx); 
init_userprefs($userdata); 

if ( !$userdata['session_logged_in'] ) { 

   redirect(append_sid("login2.$phpEx?redirect=secure.$phpEx", true)); 

} elseif ( !in_array($userdata['username'], array(waxman, piet)) ) { 

   redirect(append_sid("sorry.$phpEx", true)); 

} 

?>

<html>

beveiligd

</html>

als ik hierop wil inloggen blijft het hangen, dus er zal wel iets mis zijn.

verduidelijking:
welke pagina's moet ik nu allemaal hebben want ik heb er ondertussen weeral een heleboel teveel denk ik, en ik weet niet meer of ze nog juist zijn

login2.php

Code: Selecteer alles

<?php
/***************************************************************************
 *                                login.php
 *                            -------------------
 *   begin                : Saturday, Feb 13, 2001
 *   copyright            : (C) 2001 The phpBB Group
 *   email                : support@phpbb.com
 *
 *   $Id: login.php,v 1.47.2.13 2003/06/20 07:40:27 acydburn Exp $
 *
 *
 ***************************************************************************/

/***************************************************************************
 *
 *   This program is free software; you can redistribute it and/or modify
 *   it under the terms of the GNU General Public License as published by
 *   the Free Software Foundation; either version 2 of the License, or
 *   (at your option) any later version.
 *
 ***************************************************************************/

//
// Allow people to reach login page if
// board is shut down
//
define("IN_LOGIN", true);

define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);

//
// Set page ID for session management
//
$userdata = session_pagestart($user_ip, PAGE_LOGIN);
init_userprefs($userdata);
//
// End session management
//

// session id check
if (!empty($HTTP_POST_VARS['sid']) || !empty($HTTP_GET_VARS['sid']))
{
	$sid = (!empty($HTTP_POST_VARS['sid'])) ? $HTTP_POST_VARS['sid'] : $HTTP_GET_VARS['sid'];
}
else
{
	$sid = '';
}

if( isset($HTTP_POST_VARS['login']) || isset($HTTP_GET_VARS['login']) || isset($HTTP_POST_VARS['logout']) || isset($HTTP_GET_VARS['logout']) )
{
	if( ( isset($HTTP_POST_VARS['login']) || isset($HTTP_GET_VARS['login']) ) && !$userdata['session_logged_in'] )
	{
		$username = isset($HTTP_POST_VARS['username']) ? trim(htmlspecialchars($HTTP_POST_VARS['username'])) : '';
		$username = substr(str_replace("\\'", "'", $username), 0, 25);
		$username = str_replace("'", "\\'", $username);
		$password = isset($HTTP_POST_VARS['password']) ? $HTTP_POST_VARS['password'] : '';

		$sql = "SELECT user_id, username, user_password, user_active, user_level
			FROM " . USERS_TABLE . "
			WHERE username = '" . str_replace("\\'", "''", $username) . "'";
		if ( !($result = $db->sql_query($sql)) )
		{
			message_die(GENERAL_ERROR, 'Error in obtaining userdata', '', __LINE__, __FILE__, $sql);
		}

		if( $row = $db->sql_fetchrow($result) )
		{
			if( $row['user_level'] != ADMIN && $board_config['board_disable'] )
			{
				redirect(append_sid("secure.$phpEx", true));
			}
			else
			{
				if( md5($password) == $row['user_password'] && $row['user_active'] )
				{
					$autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;

					$session_id = session_begin($row['user_id'], $user_ip, PAGE_INDEX, FALSE, $autologin);

					if( $session_id )
					{
						$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? $HTTP_POST_VARS['redirect'] : "index.$phpEx";
						redirect(append_sid($url, true));
					}
					else
					{
						message_die(CRITICAL_ERROR, "Couldn't start session : login", "", __LINE__, __FILE__);
					}
				}
				else
				{
					$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? $HTTP_POST_VARS['redirect'] : '';
					$redirect = str_replace('?', '&', $redirect);

					$template->assign_vars(array(
						'META' => "<meta http-equiv=\"refresh\" content=\"3;url=login.$phpEx?redirect=$redirect\">")
					);

					$message = $lang['Error_login'] . '<br /><br />' . sprintf($lang['Click_return_login'], "<a href=\"login.$phpEx?redirect=$redirect\">", '</a>') . '<br /><br />' .  sprintf($lang['Click_return_index'], '<a href="' . append_sid("index.$phpEx") . '">', '</a>');

					message_die(GENERAL_MESSAGE, $message);
				}
			}
		}
		else
		{
			$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? $HTTP_POST_VARS['redirect'] : "";
			$redirect = str_replace("?", "&", $redirect);

			$template->assign_vars(array(
				'META' => "<meta http-equiv=\"refresh\" content=\"3;url=login.$phpEx?redirect=$redirect\">")
			);

			$message = $lang['Error_login'] . '<br /><br />' . sprintf($lang['Click_return_login'], "<a href=\"login.$phpEx?redirect=$redirect\">", '</a>') . '<br /><br />' .  sprintf($lang['Click_return_index'], '<a href="' . append_sid("index.$phpEx") . '">', '</a>');

			message_die(GENERAL_MESSAGE, $message);
		}
	}
	else if( ( isset($HTTP_GET_VARS['logout']) || isset($HTTP_POST_VARS['logout']) ) && $userdata['session_logged_in'] )
	{
		if( $userdata['session_logged_in'] )
		{
			session_end($userdata['session_id'], $userdata['user_id']);
		}

		if (!empty($HTTP_POST_VARS['redirect']) || !empty($HTTP_GET_VARS['redirect']))
		{
			$url = (!empty($HTTP_POST_VARS['redirect'])) ? $HTTP_POST_VARS['redirect'] : $HTTP_GET_VARS['redirect'];
			redirect(append_sid($url, true));
		}
		else
		{
			redirect(append_sid("secure.$phpEx", true));
		}
	}
	else
	{
		$url = ( !empty($HTTP_POST_VARS['redirect']) ) ? $HTTP_POST_VARS['redirect'] : "index.$phpEx";
		redirect(append_sid($url, true));
	}
}
else
{
	//
	// Do a full login page dohickey if
	// user not already logged in
	//
	if( !$userdata['session_logged_in'] )
	{
		$page_title = $lang['Login'];
		include($phpbb_root_path . 'includes/page_header.'.$phpEx);

		$template->set_filenames(array(
			'body' => 'login_body.tpl')
		);

		if( isset($HTTP_POST_VARS['redirect']) || isset($HTTP_GET_VARS['redirect']) )
		{
			$forward_to = $HTTP_SERVER_VARS['QUERY_STRING'];

			if( preg_match("/^redirect=([a-z0-9\.#\/\?&=\+\-_]+)/si", $forward_to, $forward_matches) )
			{
				$forward_to = ( !empty($forward_matches[3]) ) ? $forward_matches[3] : $forward_matches[1];
				$forward_match = explode('&', $forward_to);

				if(count($forward_match) > 1)
				{
					$forward_page = '';

					for($i = 1; $i < count($forward_match); $i++)
					{
						if( !ereg("sid=", $forward_match[$i]) )
						{
							if( $forward_page != '' )
							{
								$forward_page .= '&';
							}
							$forward_page .= $forward_match[$i];
						}
					}
					$forward_page = $forward_match[0] . '?' . $forward_page;
				}
				else
				{
					$forward_page = $forward_match[0];
				}
			}
		}
		else
		{
			$forward_page = '';
		}

		$username = ( $userdata['user_id'] != ANONYMOUS ) ? $userdata['username'] : '';

		$s_hidden_fields = '<input type="hidden" name="redirect" value="' . $forward_page . '" />';

		make_jumpbox('viewforum.'.$phpEx, $forum_id);
		$template->assign_vars(array(
			'USERNAME' => $username,

			'L_ENTER_PASSWORD' => $lang['Enter_password'],
			'L_SEND_PASSWORD' => $lang['Forgotten_password'],

			'U_SEND_PASSWORD' => append_sid("profile.$phpEx?mode=sendpassword"),

			'S_HIDDEN_FIELDS' => $s_hidden_fields)
		);

		$template->pparse('body');

		include($phpbb_root_path . 'includes/page_tail.'.$phpEx);
	}
	else
	{
		redirect(append_sid("secure.$phpEx", true));
	}

}

?>

sorry.php

Code: Selecteer alles

<?php 

?>

<html>sorry</html>

Code: Selecteer alles

ik heb dan nog een loginxtra.php ook, maar die heb ik toch niet meer nodig dacht ik...

[mosymuis]

Je hebt alleen secure.php nodig, deze koppel je door naar login.$phpEx?redirect=secure.$phpEx als men niet is ingelogd. Onder ?> in secure.php plaats je je beveiligde HTML document. Als je wilt kan je sorry.php idd ook nog gebruiken, maar dat lijkt me geen vereiste. Als ze op index.php komen snappen ze het ook wel.