L.E.G.E.N.D.
26.11.2017 02:36
|
Добрый вечер всем!
Буду краток: делаю собственную CMS с общеобразовательной целью.
Столкнулся с тем, что очень странно ведет себя авторизация. Странно потому, что она примитивна настолько насколько это возможно (будет усложнена позже, сейчас примитивна).
тут: web-legends.net/liberty/
КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!
СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!
БАЗА: в таблице юзеров один пользователь. есть таблица сессий
=============================================================================================================
Результат: авторизация занимает аж 20 секунд !!!!
Снял видео этой эпической драмы, авторизация:
web-legends.net/test/login-26-11-2017.mp4
И сразу за ней, в качестве подтверждения что с нетом и трассой у меня порядок, процесс заливки 40 с лишним МБ фоток:
web-legends.net/test/upload-26-11-2017.mp4
Прошу прощение за качество.
================================================================================================================
Вопрос: что я делаю не так? Почему авторизация при минимуме кода и данных длится 20 сек, а 40 мегобайтов фоток залетают на сервак мгновенно?
проблемма возникает с переодичностью в неделю. Неделю логин мгновенный, следующую неделю 20 секунд и хоть тресни.
Погонял код на ФРИХОСТЕ и ZZZ.com.ua авторизация мгновенная на них. Почему на украине не так?
Буду благодарен любой помощи!
|
Евгений В.
26.11.2017 08:08
|
Почему на украине не так?© game-over
Точно на этот вопрос может дать ответ только разработчик сайта, понятное дело. Но
Снял видео этой эпической драмы, авторизация:© game-over
Я думаю, в это ситуации видео не имеет никакой ценности. Правильнее сделать тестовый скрипт который действительно оставит только схему
КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!
СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!
БАЗА: в таблице юзеров один пользователь. есть таблица сессий© game-over
выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема). И проверить им. Если все в порядке - постепенно добавлять остальное и искать где ошибка. Не в порядке - разбирать код, искать причину.
|
L.E.G.E.N.D.
29.11.2017 09:18
|
Евгений, позавчера авторизация занимала 20 секунд. Я успел проверить это за вечер более 10 раз!
Сегодня - мгновенно! Код авторизации не менялся...
======================================================================================
Вы мне отвечаете грамотно и взвешенно, и не первый раз, за что я вам благодарен)
Но реально с украиной иногда странные вещи происходят, какие то критические дни... Я по другому это назвать не могу!
выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема)© Евгений В.
ах, вы меня на сквозь видите?))
=======================================================================================
Имею вопрос: почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его? "cmd.php" - сокращение от "command.php", нормальное ведь сокращение.
С каким вирусом и в какой CMS это связанно? И почему с вирусами нужно бороться через названия файлов, а не через их содержимое?
Как это вообще работает? |
Евгений В.
29.11.2017 11:55
|
почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его?© game-over
Уточните пожалуйста, как создается файл и какую ошибку Вы получаете?
|
L.E.G.E.N.D.
29.11.2017 13:05
|
Речь о файле который я могу залить или создать и назвать "cmd.php" для выполнения нужных мне команд.
После чего обнаруживаю что доступа к файлу нет, запросы не выполняются и ничего не возвращают, и это отображено в "логах сервера" панели управления, пишет что файл какой то опасный.
Проблема обходится обычным переименованием файла в любое другое имя, или добавлением исключения в ручную там же в логах.
Очевидно, работают какие то правила безопасности. Что за правила такие, которые только имя файла учитывают?
==================================================
web-legends.net/liberty/cmd.php
===================================================================================
<?php
echo "hello world!!!";
?>
===================================================================================
424
Failed Dependency
Заблокировано правилами безопасности
Запрос содержит признаки попытки использования уязвимости на сайте
Как это исправить?
==================================================================================
Вы серьезно? Только имя файла это угроза? )))
|
|
|
К сожалению, это еще и имя одного из самых распространенных шелов, который заливается через первую же найденную дырку на сайт и понеслась.
Фильтр канеш получается тупой как доска, но уж слишком часто этот файл содержит нехороший контент.
|
|
|
Если не ошибаюсь, то можно для конкретного сайта на хостинге отключить определенные правила или отключить проверку совсем.
|
|
|
Да, в error логе можно отключить правило
|
