• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Что не так с самописной авторизацией?

Форумы Хостинг Что не так с самописной авторизацией?
game-over
26.11.2017 02:36
хостинг: есть
домен: есть
Что не так с самописной авторизацией?
Добрый вечер всем!

Буду краток: делаю собственную CMS с общеобразовательной целью.
Столкнулся с тем, что очень странно ведет себя авторизация. Странно потому, что она примитивна настолько насколько это возможно (будет усложнена позже, сейчас примитивна).

тут: Авторизация

КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!

СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!

БАЗА: в таблице юзеров один пользователь. есть таблица сессий

=============================================================================================================

Результат: авторизация занимает аж 20 секунд !!!!

Снял видео этой эпической драмы, авторизация:
http://web-legends.net/test/login-26-11-2017.mp4

И сразу за ней, в качестве подтверждения что с нетом и трассой у меня порядок, процесс заливки 40 с лишним МБ фоток:
http://web-legends.net/test/upload-26-11-2017.mp4

Прошу прощение за качество.

================================================================================================================

Вопрос: что я делаю не так? Почему авторизация при минимуме кода и данных длится 20 сек, а 40 мегобайтов фоток залетают на сервак мгновенно?

проблемма возникает с переодичностью в неделю. Неделю логин мгновенный, следующую неделю 20 секунд и хоть тресни.

Погонял код на ФРИХОСТЕ и ZZZ.com.ua авторизация мгновенная на них. Почему на украине не так?



Буду благодарен любой помощи!
Евгений В.
26.11.2017 08:08
хостинг: есть
домен: нет
Почему на украине не так? © game-over

Точно на этот вопрос может дать ответ только разработчик сайта, понятное дело. Но

Снял видео этой эпической драмы, авторизация: © game-over

Я думаю, в это ситуации видео не имеет никакой ценности. Правильнее сделать тестовый скрипт который действительно оставит только схему
КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!

СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!

БАЗА: в таблице юзеров один пользователь. есть таблица сессий
© game-over

выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема). И проверить им. Если все в порядке - постепенно добавлять остальное и искать где ошибка. Не в порядке - разбирать код, искать причину.
game-over
29.11.2017 09:18
хостинг: есть
домен: есть
Евгений, позавчера авторизация занимала 20 секунд. Я успел проверить это за вечер более 10 раз!

Сегодня - мгновенно! Код авторизации не менялся...

======================================================================================

Вы мне отвечаете грамотно и взвешенно, и не первый раз, за что я вам благодарен)

Но реально с украиной иногда странные вещи происходят, какие то критические дни... Я по другому это назвать не могу!


выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема) © Евгений В.

ах, вы меня на сквозь видите?))

=======================================================================================

Имею вопрос: почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его? "cmd.php" - сокращение от "command.php", нормальное ведь сокращение.
С каким вирусом и в какой CMS это связанно? И почему с вирусами нужно бороться через названия файлов, а не через их содержимое?
Как это вообще работает?
Евгений В.
29.11.2017 11:55
хостинг: есть
домен: нет
почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его? © game-over

Уточните пожалуйста, как создается файл и какую ошибку Вы получаете?
game-over
29.11.2017 13:05
хостинг: есть
домен: есть
Речь о файле который я могу залить или создать и назвать "cmd.php" для выполнения нужных мне команд.

После чего обнаруживаю что доступа к файлу нет, запросы не выполняются и ничего не возвращают, и это отображено в "логах сервера" панели управления, пишет что файл какой то опасный.

Проблема обходится обычным переименованием файла в любое другое имя, или добавлением исключения в ручную там же в логах.

Очевидно, работают какие то правила безопасности. Что за правила такие, которые только имя файла учитывают?

==================================================

http://web-legends.net/liberty/cmd.php

===================================================================================

<?php

echo "hello world!!!";

?>

===================================================================================

424
Failed Dependency
Заблокировано правилами безопасности
Запрос содержит признаки попытки использования уязвимости на сайте
Как это исправить?

==================================================================================

Вы серьезно? Только имя файла это угроза? )))
tark
29.11.2017 13:11
хостинг: есть
домен: есть
К сожалению, это еще и имя одного из самых распространенных шелов, который заливается через первую же найденную дырку на сайт и понеслась.
Фильтр канеш получается тупой как доска, но уж слишком часто этот файл содержит нехороший контент.
Илья
29.11.2017 13:17
хостинг: есть
домен: есть
Если не ошибаюсь, то можно для конкретного сайта на хостинге отключить определенные правила или отключить проверку совсем.
Олег
29.11.2017 13:23
хостинг: есть
домен: нет
Да, в error логе можно отключить правило
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города