Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Что не так с самописной авторизацией?

Форумы Хостинг Что не так с самописной авторизацией?
game-over
10 месяцев назад
хостинг: есть
домен: есть
Что не так с самописной авторизацией?
Добрый вечер всем!

Буду краток: делаю собственную CMS с общеобразовательной целью.
Столкнулся с тем, что очень странно ведет себя авторизация. Странно потому, что она примитивна настолько насколько это возможно (будет усложнена позже, сейчас примитивна).

тут: Авторизация

КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!

СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!

БАЗА: в таблице юзеров один пользователь. есть таблица сессий

=============================================================================================================

Результат: авторизация занимает аж 20 секунд !!!!

Снял видео этой эпической драмы, авторизация:
http://web-legends.net/test/login-26-11-2017.mp4

И сразу за ней, в качестве подтверждения что с нетом и трассой у меня порядок, процесс заливки 40 с лишним МБ фоток:
http://web-legends.net/test/upload-26-11-2017.mp4

Прошу прощение за качество.

================================================================================================================

Вопрос: что я делаю не так? Почему авторизация при минимуме кода и данных длится 20 сек, а 40 мегобайтов фоток залетают на сервак мгновенно?

проблемма возникает с переодичностью в неделю. Неделю логин мгновенный, следующую неделю 20 секунд и хоть тресни.

Погонял код на ФРИХОСТЕ и ZZZ.com.ua авторизация мгновенная на них. Почему на украине не так?



Буду благодарен любой помощи!
Евгений В.
10 месяцев назад
хостинг: есть
домен: нет
Почему на украине не так? © game-over

Точно на этот вопрос может дать ответ только разработчик сайта, понятное дело. Но

Снял видео этой эпической драмы, авторизация: © game-over

Я думаю, в это ситуации видео не имеет никакой ценности. Правильнее сделать тестовый скрипт который действительно оставит только схему
КЛИЕНТ: страница авторизации, в ней форма, по сабмиту формы отправляется АЯКС-запрос и на него всего два варианта ответа может придти: "OK" или "ERROR". Все!

СЕРВЕР: таблица юзеров, логин, пароль без хеширования. Проверка сессии > проверка логина+пароля > создание куки > ответ клиенту. Все!

БАЗА: в таблице юзеров один пользователь. есть таблица сессий
© game-over

выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема). И проверить им. Если все в порядке - постепенно добавлять остальное и искать где ошибка. Не в порядке - разбирать код, искать причину.
game-over
10 месяцев назад
хостинг: есть
домен: есть
Евгений, позавчера авторизация занимала 20 секунд. Я успел проверить это за вечер более 10 раз!

Сегодня - мгновенно! Код авторизации не менялся...

======================================================================================

Вы мне отвечаете грамотно и взвешенно, и не первый раз, за что я вам благодарен)

Но реально с украиной иногда странные вещи происходят, какие то критические дни... Я по другому это назвать не могу!


выкинув из него все лишнее и оставив исключительно авторизацию (сейчас там все что угодно включая подтягивание index.php сайта, а не описанная схема) © Евгений В.

ах, вы меня на сквозь видите?))

=======================================================================================

Имею вопрос: почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его? "cmd.php" - сокращение от "command.php", нормальное ведь сокращение.
С каким вирусом и в какой CMS это связанно? И почему с вирусами нужно бороться через названия файлов, а не через их содержимое?
Как это вообще работает?
Евгений В.
10 месяцев назад
хостинг: есть
домен: нет
почему хостинг ругается на попытку создать файл "cmd.php" и блокирует его? © game-over

Уточните пожалуйста, как создается файл и какую ошибку Вы получаете?
game-over
10 месяцев назад
хостинг: есть
домен: есть
Речь о файле который я могу залить или создать и назвать "cmd.php" для выполнения нужных мне команд.

После чего обнаруживаю что доступа к файлу нет, запросы не выполняются и ничего не возвращают, и это отображено в "логах сервера" панели управления, пишет что файл какой то опасный.

Проблема обходится обычным переименованием файла в любое другое имя, или добавлением исключения в ручную там же в логах.

Очевидно, работают какие то правила безопасности. Что за правила такие, которые только имя файла учитывают?

==================================================

http://web-legends.net/liberty/cmd.php

===================================================================================

<?php

echo "hello world!!!";

?>

===================================================================================

424
Failed Dependency
Заблокировано правилами безопасности
Запрос содержит признаки попытки использования уязвимости на сайте
Как это исправить?

==================================================================================

Вы серьезно? Только имя файла это угроза? )))
tark
10 месяцев назад
хостинг: есть
домен: есть
К сожалению, это еще и имя одного из самых распространенных шелов, который заливается через первую же найденную дырку на сайт и понеслась.
Фильтр канеш получается тупой как доска, но уж слишком часто этот файл содержит нехороший контент.
Илья
10 месяцев назад
хостинг: есть
домен: есть
Если не ошибаюсь, то можно для конкретного сайта на хостинге отключить определенные правила или отключить проверку совсем.
Олег
10 месяцев назад
хостинг: есть
домен: нет
Да, в error логе можно отключить правило
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Горячая линия
(044)
392 74 33
другие города