Passwort / Login /Verzeichnisschutz

**MelloPie** · 15.01.2003, 13:40

klar so wie sich das anhört sicherst Du Deine Seiten nicht sondern nur die Weiterleitung.
Sicher alle Seiten mit einem Schutz zB über Sessions.

**weserweb** · 15.01.2003, 14:17

Danke für die Antwort!

Habe mich bisher um das Thema Sessions "gedrückt", aber nun denn, packen wir's an!

Gibt es ausser dem Tut von JoelH noch andere Tut- bzw. Literaturtips?

Gruss, Wolfgang

**wahsaga** · 15.01.2003, 15:00

Re: Passwort / Login /Verzeichnisschutz

Wenn nun jemand mit Hilfe eines Grabber-Programms den Inhalt des Ordners "Verwaltung" einliest, stösst er irgendwann auf das Script "anfang.php", kann es direkt aufrufen und damit das Login umgehen.

wenn du mit .htaccess das directory listing des verzeichnisses ausschaltest, kann man das verzeichnis mit einem grabber gar nicht per http auslesen, dann kriegt man einen 403er wenn man versucht lediglich auf das verzeichnis ohne angabe eines dateinamens zuzugreifen...

**weserweb** · 15.01.2003, 15:10

@wahsaga
bitte um korrektur, falls mein gedankengang nicht richtig:

wenn ich eine .htaccess ins verzeichnis lege, wird beim aufruf der "index.php" (oder auch jeder anderen datei in diesem verzeichnis) immer erst eine htacces-eingabeaufforderung eingeblendet, oder?

und das möchte ich nicht: es soll die "index.php" mit der aufforderung zum login angezeigt werden.

mir scheint der weg über sessions der einzig sinnvolle.

gruss, wolfgang

**wahsaga** · 15.01.2003, 15:42

wenn ich eine .htaccess ins verzeichnis lege, wird beim aufruf der "index.php" (oder auch jeder anderen datei in diesem verzeichnis) immer erst eine htacces-eingabeaufforderung eingeblendet, oder?

das wäre ein zugriffsschutz mit .htaccess, dass ist aber nicht das was ich meinte.

ich meinte, dass du lediglich das verzeichnis listing abschalten sollst: http://www.trash.net/faq/htaccess.sh...iedeneoptionen, punkt Indexes

**weserweb** · 15.01.2003, 16:02

ok, danke für den hinweis. aber:

ich habe eine .htaccess.
inhalt: "Options -Indexes"

normale eingabe: "www.domain.de/verwaltung/" : index.php wird aufgerufen

wenn jemand kenntnis des inhalts des ordners hat, kann die datei "anfang.php" direkt aufgerufen werden. davor schützt auch die o.a. htaccess nicht.

zu einer dateiauflistung kommt es nie, da ja eine index.php existiert, die aufgerufen wird, wenn nur der ordnername eingegeben wird.

ich denke, ohne session geht es nicht.

**TobiaZ** · 15.01.2003, 16:19

machs mit dem Tut nach Joel. Das reicht alle Male!

**weserweb** · 15.01.2003, 16:25

jupp, denn mal los!

ich hoffe schon jetzt auf späteren beistand

gruss, wolfgang

**TobiaZ** · 15.01.2003, 16:29

den solltest du bei dem Tut eigentlich nicht benötigen... Das ist wirklich gut!!!

Falls doch, dann würd ich mir gedanken machen

**weserweb** · 15.01.2003, 17:13

... die gedanken sind frei...!

hier ein paar links zu tut's im netz, regarding sessions:

[http://www.trios.org/php/sessions/ englisch

http://www.edevcafe.com/docs/78.html englisch

http://www.huhny.de/article.php?sid=3 deutsch

http://www.develnet.org/26.html deutsch

http://www.dynamic-webpages.de/php/ref.session.php deutsch

**weserweb** · 15.01.2003, 18:27

ok, kein problem mit dem tut.

aber ich wusste doch, dass das nochnicht alles ist:

was tun, wenn register_globals=OFF ?

dann stehen mir in der gezeigten form die variablen nicht zur verfügung.

wie kriegt man die übergabe hin?

gruss, wolfgang

**TobiaZ** · 15.01.2003, 18:33

$_COOKIES[]
$_SESSION[]
$_POST[]
$_GET[]

**weserweb** · 15.01.2003, 20:22

sorry,
aber mit dieser antwort von TobiaZ kann ich nichts anfangen.

$_COOKIES[] $_POST[] und $_GET[] werden verwendet, um übergebene Variablen auszulesen.

wie soll man das denn in zusammenhang mit einer session verwenden, wenn register_globals=OFF gestellt sind?

beispiel script_1:

<?php
session_start();
session_register("username");
$username="tom";
?>
code....

beispiel script_2:

<?php
session_start();
?>
code...

mit register_globals=ON steht jetzt die variable $username zur verfügung,

mit register_globals=OFF jedoch nicht.

wie ist die lösung?

gruss, wolfgang

**TobiaZ** · 15.01.2003, 20:25

$_COOKIES[username]

a bisserl allgemeines Anlesen schadet nicht.

Passwort / Login /Verzeichnisschutz