本文目錄一覽:
如何讓php擁有root的許可權?
這是因為一般情況下,PHP是作為APACHE的一個模塊的,也就是說,PHP是APACHE的一部分,而APACHE除了suEXEC機制外,是不能以不同的用戶ID來執行命令的,但suEXEC機制只能CGI有效。網上曾經有一篇文章,說用調用”su – -c COMMAND”可以實現,但經過多次試驗,發現不行,因為su命令必須在STDIN上輸入root的密碼。要注意的是,安裝和配置super,都要以root身份來進行。第一步,切換到root下第二步,安裝super先到下載super-3.14.0-1.i386.rpm。這是一個RPM文件,其它包括了兩個工具:setuid和super,以及它們的文檔和man手冊。用下面的命令將它安裝到系統中:% rpm -Uvh super-3.14.0-1.i386.rpm你還可以用這個命令來查看這個RPM中的文件:% rpm -qpl super-3.14.0-1.i386.rpm從結果可以看到,兩個工具都將被安裝到/bin目錄下。第三步,配置supersuper的配置文件是/etc/super.tab。這是一個文本文件,格式也比較複雜。不過,我們這裡只要很簡單的加上幾行就可以了。至於詳細的說明,可以通過man super.tab來查看。假設運行Apache的用戶是nobody,我們欲通過super來增加系統用戶(調用useradd命令),那麼我們只要在super.tab文件中加入以下這行:auser /sbin/useradd nobody,hunte第一段是super能夠識別的命令的別名;第二段是該別名所對應的系統命令的全路徑;第三段是可以運行該命令的用戶列表,用逗號分隔。這裡除了nobody外,還一個叫hunte的普通用戶,是用於下面的測試。當然,你應該用你系統中有的任意一個普通用戶。至此,super的配置就算好了。第四步,測試以第三步中指定的非nobody用戶登錄,運行:% /bin/super auser testuser% cat /etc/passwd �0�7 grep testuser命令來驗證一下。第五步,在PHP中調用該命令下面是PHP代碼:使用super,使得在PHP中以root身份運行外部命令不再是難事。試試看吧。
auth 許可權驗證求助
ThinkPHP許可權認證Auth實例詳解ThinkPHP許可權認證Auth實例,本文以實例代碼的形式深入剖析了ThinkPHP許可權認證Auth的實現原理與方法,具體步驟如下:mysql資料庫部分sql代碼:?123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172——————————–Tablestructureforthink_auth_group——————————DROPTABLEIFEXISTS`think_auth_group`;CREATETABLE`think_auth_group`(`id`mediumint(8)unsignedNOTNULLAUTO_INCREMENT,`title`char(100)NOTNULLDEFAULT”,`status`tinyint(1)NOTNULLDEFAULT’1′,`rules`char(80)NOTNULLDEFAULT”,PRIMARYKEY(`id`))ENGINE=MyISAMAUTO_INCREMENT=2DEFAULTCHARSET=utf8COMMENT=’用戶組表’;——————————–Recordsofthink_auth_group——————————INSERTINTO`think_auth_group`VALUES(‘1′,’管理組’,’1′,’1,2′);——————————–Tablestructureforthink_auth_group_access——————————DROPTABLEIFEXISTS`think_auth_group_access`;CREATETABLE`think_auth_group_access`(`uid`mediumint(8)unsignedNOTNULLCOMMENT’用戶id’,`group_id`mediumint(8)unsignedNOTNULLCOMMENT’用戶組id’,UNIQUEKEY`uid_group_id`(`uid`,`group_id`),KEY`uid`(`uid`),KEY`group_id`(`group_id`))ENGINE=MyISAMDEFAULTCHARSET=utf8COMMENT=’用戶組明細表’;——————————–Recordsofthink_auth_group_access——————————INSERTINTO`think_auth_group_access`VALUES(‘1′,’1’);INSERTINTO`think_auth_group_access`VALUES(‘1′,’2′);——————————–Tablestructureforthink_auth_rule——————————DROPTABLEIFEXISTS`think_auth_rule`;CREATETABLE`think_auth_rule`(`id`mediumint(8)unsignedNOTNULLAUTO_INCREMENT,`name`char(80)NOTNULLDEFAULT”COMMENT’規則唯一標識’,`title`char(20)NOTNULLDEFAULT”COMMENT’規則中文名稱’,`status`tinyint(1)NOTNULLDEFAULT’1’COMMENT’狀態:為1正常,為0禁用’,`type`char(80)NOTNULL,`condition`char(100)NOTNULLDEFAULT”COMMENT’規則表達式,為空表示存在就驗證,不為空表示按照條件驗證’,PRIMARYKEY(`id`),UNIQUEKEY`name`(`name`))ENGINE=MyISAMAUTO_INCREMENT=5DEFAULTCHARSET=utf8COMMENT=’規則表’;——————————–Recordsofthink_auth_rule——————————INSERTINTO`think_auth_rule`VALUES(‘1′,’Home/index’,’列表’,’1′,’Home’,”);INSERTINTO`think_auth_rule`VALUES(‘2′,’Home/add’,’添加’,’1′,’Home’,”);INSERTINTO`think_auth_rule`VALUES(‘3′,’Home/edit’,’編輯’,’1′,’Home’,”);INSERTINTO`think_auth_rule`VALUES(‘4′,’Home/delete’,’刪除’,’1′,’Home’,”);DROPTABLEIFEXISTS`think_user`;CREATETABLE`think_user`(`id`int(11)NOTNULL,`username`varchar(30)DEFAULTNULL,`password`varchar(32)DEFAULTNULL,`age`tinyint(2)DEFAULTNULL,PRIMARYKEY(`id`))ENGINE=InnoDBDEFAULTCHARSET=utf8;——————————–Recordsofthink_user——————————INSERTINTO`think_user`VALUES(‘1′,’admin’,’21232f297a57a5a743894a0e4a801fc3′,’25’);配置文件Application\Common\Conf\config.php部分:?12345678910111213141516171819202122’配置值”DB_DSN’=”,//資料庫連接DSN用於PDO方式’DB_TYPE’=’mysql’,//資料庫類型’DB_HOST’=’localhost’,//伺服器地址’DB_NAME’=’thinkphp’,//資料庫名’DB_USER’=’root’,//用戶名’DB_PWD’=’root’,//密碼’DB_PORT’=3306,//埠’DB_PREFIX’=’think_’,//資料庫表前綴’AUTH_CONFIG’=array(‘AUTH_ON’=true,//認證開關’AUTH_TYPE’=1,//認證方式,1為時時認證;2為登錄認證。’AUTH_GROUP’=’think_auth_group’,//用戶組數據表名’AUTH_GROUP_ACCESS’=’think_auth_group_access’,//用戶組明細表’AUTH_RULE’=’think_auth_rule’,//許可權規則表’AUTH_USER’=’think_user’//用戶信息表));項目Home控制器部分Application\Home\Controller\IndexController.class.php代碼:?123456789101112131415161718192021222324check($name,$uid,$type,$mode,$relation)){die(‘認證:成功’);}else{die(‘認證:失敗’);}}}以上這些代碼就是最基本的驗證代碼示例。下面是源碼閱讀:1、許可權檢驗類初始化配置信息:?1$Auth=new\Think\Auth();創建一個對象時程序會合併配置信息程序會合併Application\Common\Conf\config.php中的AUTH_CONFIG數組?1234567891011publicfunction__construct(){$prefix=C(‘DB_PREFIX’);$this-_config[‘AUTH_GROUP’]=$prefix.$this-_config[‘AUTH_GROUP’];$this-_config[‘AUTH_RULE’]=$prefix.$this-_config[‘AUTH_RULE’];$this-_config[‘AUTH_USER’]=$prefix.$this-_config[‘AUTH_USER’];$this-_config[‘AUTH_GROUP_ACCESS’]=$prefix.$this-_config[‘AUTH_GROUP_ACCESS’];if(C(‘AUTH_CONFIG’)){//可設置配置項AUTH_CONFIG,此配置項為數組。$this-_config=array_merge($this-_config,C(‘AUTH_CONFIG’));}}2、檢查許可權:?1check($name,$uid,$type=1,$mode=’url’,$relation=’or’)大體分析一下這個方法首先判斷是否關閉許可權校驗如果配置信息AUTH_ON=false則不會進行許可權驗證否則繼續驗證許可權?123if(!$this-_config[‘AUTH_ON’]){returntrue;}獲取許可權列表之後會詳細介紹:?1$authList=$this-getAuthList($uid,$type);此次需要驗證的規則列錶轉換成數組:?12345678if(is_string($name)){$name=strtolower($name);if(strpos($name,’,’)!==false){$name=explode(‘,’,$name);}else{$name=array($name);}}所以$name參數是不區分大小寫的,最終都會轉換成小寫開啟url模式時全部轉換為小寫:?123if($mode==’url’){$REQUEST=unserialize(strtolower(serialize($_REQUEST)));}許可權校驗核心代碼段之一,即循環所有該用戶許可權判斷當前需要驗證的許可權是否在用戶授權列表中:?12345678910111213foreach($authListas$auth){$query=preg_replace(‘/^.+\?/U’,”,$auth);//獲取url參數if($mode==’url’$query!=$auth){parse_str($query,$param);//獲取數組形式url參數$intersect=array_intersect_assoc($REQUEST,$param);$auth=preg_replace(‘/\?.*$/U’,”,$auth);//獲取訪問的url文件if(in_array($auth,$name)$intersect==$param){//如果節點相符且url參數滿足$list[]=$auth;}}elseif(in_array($auth,$name)){$list[]=$auth;}}in_array($auth,$name)如果許可權列表中其中一條許可權等於當前需要校驗的許可權則加入到$list中註:?12345678910111213$list=array();//保存驗證通過的規則名if($relation==’or’and!empty($list)){returntrue;}$diff=array_diff($name,$list);if($relation==’and’andempty($diff)){returntrue;}$relation==’or’and!empty($list);//當or時只要有一條是通過的則許可權為真$relation==’and’andempty($diff);//當and時$name與$list完全相等時許可權為真3、獲取許可權列表:?1$authList=$this-getAuthList($uid,$type);//獲取用戶需要驗證的所有有效規則列表這個主要流程:獲取用戶組?12$groups=$this-getGroups($uid);//SELECT`rules`FROMthink_auth_group_accessaINNERJOINthink_auth_groupgona.group_id=g.idWHERE(a.uid=’1’andg.status=’1′)簡化操作就是:?1SELECT`rules`FROMthink_auth_groupWHERESTATUS=’1’ANDid=’1’//按正常流程去think_auth_group_access表中內聯有點多餘.!取得用戶組rules規則欄位這個欄位中保存的是think_auth_rule規則表的id用,分割$ids就是$groups變數最終轉換成的id數組:?12345$map=array(‘id’=array(‘in’,$ids),’type’=$type,’status’=1,);取得think_auth_rule表中的規則信息,之後循環:?123456789101112131415foreach($rulesas$rule){if(!empty($rule[‘condition’])){//根據condition進行驗證$user=$this-getUserInfo($uid);//獲取用戶信息,一維數組$command=preg_replace(‘/\{(\w*?)\}/’,’$user[\’\\1\’]’,$rule[‘condition’]);//dump($command);//debug@(eval(‘$condition=(‘.$command.’);’));if($condition){$authList[]=strtolower($rule[‘name’]);}}else{//只要存在就記錄$authList[]=strtolower($rule[‘name’]);}}if(!empty($rule[‘condition’])){//根據condition進行驗證這裡就可以明白getUserInfo會去獲取配置文件AUTH_USER對應表名去查找用戶信息重點是:?12$command=preg_replace(‘/\{(\w*?)\}/’,’$user[\’\\1\’]’,$rule[‘condition’]);@(eval(‘$condition=(‘.$command.’);’));’/\{(\w*?)\}/可以看成要匹配的文字為{字元串}那麼{字元串}會替換成$user[‘字元串’]$command=$user[‘字元串’]如果?12345$rule[‘condition’]='{age}’;$command=$user[‘age’]$rule[‘condition’]='{age}5′;$command=$user[‘age’]10@(eval(‘$condition=(‘.$command.’);’));即:?1$condition=($user[‘age’]10);這時再看下面代碼如果為真則加為授權列表?123if($condition){$authList[]=strtolower($rule[‘name’]);}
PHP會話驗證問題,怎麼解決
會話控制的思想就是指能夠在網站中根據一個會話跟蹤用戶。這裡整理了詳細的代碼,有需要的小夥伴可以參考下。
概述
http 協議是無狀態的,對於每個請求,服務端無法區分用戶。PHP 會話控制就是給了用戶一把鑰匙(一個加密session字元串),同時這也是用戶身份的一個證明,服務端存放了這把鑰匙能打開的箱子(資料庫,內存資料庫或者使用文件做的),箱子裡面裝的就是用戶的各個變數信息。
傳統的php session 使用
?php
//page1.php 啟動一個會話並註冊一個變數
session_start();
$_SESSION[‘user_var’] = “hello,codekissyoung!”;
//這裡的可以將$_SESSION理解為用戶的箱子,實際的實現是php在伺服器端生成的小文件
?
?php
//page2.php
session_start();
echo $_SESSION[‘user_var’];//通過鑰匙訪問自己的箱子內的變數
$_SESSION[‘user_var’] = “bey,codekissyoung!”;
?
?php
//page3.php 銷毀鑰匙,一般在用戶註銷時,訪問page3.php文件
session_start();
session_destroy();
?
提一個問題,鑰匙呢?沒看見給用戶鑰匙的操作啊?
這個操作是php背後幫我們做了的,自從你訪問page1.php 程序運行,session_start();這句時,php 會根據此刻的一些條件(用戶ip,瀏覽器號,時間等)生成一個PHPSESSID變數,http response 回客戶端後,這個PHPSESSID就已經存在你的瀏覽器cookie里了,每次你再次訪問這個域名時,該PHPSESSID都會發送到服務端。這個PHPSESSID 就是我這裡說的用戶鑰匙了。
再一個問題,這個PHPSESSID的安全性,它是否容易被竊取,是否容易被偽造,是否容易被篡改?
使用 Https 可以防止被篡改。不使用PHPSESSID,而是自己生成一把秘鑰給用戶可以防止被偽造。至於是否容易被竊取,還真沒怎麼研究過。比如如果你電腦連著網,黑客入侵你電腦。
將生成的秘鑰存入瀏覽器cookie中
設置cookie
setCookie(‘key’,’value’,time()+3600);
刪除cookie
setCookie(‘key’,”,time()-1);
實現單點登錄:session共享
單點登錄:多個子系統之間共用一套用戶驗證體系,在其中一處登錄,就可以訪問所有子系統。
試想這麼一種情景:假設伺服器A與B的php環境一致。用戶在 伺服器A 上拿到了自己的鑰匙,然後他拿著這把鑰匙去訪問伺服器B,請問伺服器B認識么?
很顯然不能,伺服器A生成的鑰匙,伺服器並不認識。
解決辦法:用戶無論訪問A或B,生成的鑰匙我都存儲在C(同一個資料庫,或緩存系統)中,用戶再次訪問A或B時,A和B都去問下C:這個用戶的鑰匙對么?對的話,用戶就可以使用自己存在A或者B那裡的箱子了。
?php
session_regenerate_id();//重置 session 字元
$session_info=array(‘uid’=$uid,’session’=session_encrypt(session_id().time()));
//下一步將,$session_info 存到 C 中
?
下面是php通過會話控制實現身份驗證實例
身份驗證應用程序主體:authmain.PHP
?php
//開啟一個會話
session_start();
if((!isset($userid))||(!isset($password))) {
$userid=$_POST[‘userid’];
$password=$_POST[‘password’];
//連接資料庫
$db_conn=new mysqli(“localhost”, “root”, “”,”auth”);
if(mysqli_connect_errno()){
echo ‘連接資料庫失敗:’.mysqli_connect_error();
exit();
}
//執行SQL查詢語句
$query=”SELECT * FROM authorized_users WHERE name='”.$userid.”‘ and password=sha1(‘”.$password.”‘)”;
$result=$db_conn-query($query);
if($result-num_rows0){
//註冊一個會話變數
$_SESSION[‘valid_user’]=$userid;
}
//斷開資料庫連接
$db_conn-close();
}
?
!DOCTYPE html
html
head
meta charset=”UTF-8″
title身份驗證/title
/head
body
h1主頁/h1
?php
//判斷用戶是否已經登錄
if(isset($_SESSION[‘valid_user’])){
echo $_SESSION[‘valid_user’].’,您好,你已經登錄’;
echo ‘a href=”logout.php”退出登錄/abr/’;
}else{
if(isset($userid)){
echo ‘您沒有登錄成功’;
}else{
echo ‘您還沒有登錄br/’;
}
?
form method=”post” action=”authmain.php”
p用戶名:input type=”text” name=”userid”/p
p密碼:input type=”password” name=”password”/p
pinput type=”submit” name=”submit” value=”登錄”/p
/form
?php
}
?
br/
a href=”members_only.php”登錄進入/a
/body
/html
網站的有效用戶檢查:members_only.php
!DOCTYPE html
html
head
meta charset=”UTF-8″
title身份驗證/title
/head
body
?php
//啟用會話
session_start();
echo ‘h1會員有效/h1’;
if(isset($_SESSION[‘valid_user’])){
echo “p”.$_SESSION[‘valid_user’].”,您好,您已經登錄成功/p”;
echo ‘p會員可享受折扣優惠/p’;
}else{
echo ‘p您還沒有登錄成功/p’;
echo ‘p只有登錄成功才能查看此頁/p’;
}
echo ‘a href=”authmain.php”返回主頁/a’;
?
/body
/html
註銷會話變數並銷毀會話:logout.php
?php
//啟用會話
session_start();
$olduser=$_SESSION[‘valid_user’];
//註銷會話變數
unset($_SESSION[‘valid_user’]);
//銷毀會話
session_destroy();
?
!DOCTYPE html
html
head
meta charset=”UTF-8″
title退出登錄/title
/head
body
h1您退出登錄了!/h1
?php
if(!empty($olduser)){
echo ‘退出登錄了br/’;
}else{
echo ‘您沒有登錄過,所以當然也不存在退出登錄br/’;
}
?
a href=”authmain.php”返回主頁/a
/body
/html
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/156503.html
微信掃一掃 
支付寶掃一掃 