Sicherheitsfrage

**TobiaZ** · 10-10-2005, 11:27

ob du ne htaccess drin hast oder nicht, spielt ja keine rolle.

wenn du zwei variablen vergleichst, gibt es in der regel keine sicherheitslücke.

ich weiß aber auch nicht wirklich, worauf du hinaus willst.

**p-flash** · 10-10-2005, 12:32

Also, das .htaccess soll verhindern, dass man auf die php-Datei direkt zugreifen kann und den quellcodes sieht. Worauf ich genau hinaus will ist, dass in dieser php-datei das passwort und die kennung drinstehen und ob es leicht für andere ist daran zu kommen. Oder kann ich mir ziemlich sicher sein, dass diese art der passwort verwaltung sicher ist?

**jahlives** · 10-10-2005, 12:39

Worauf ich genau hinaus will ist, dass in dieser php-datei das passwort und die kennung drinstehen und ob es leicht für andere ist daran zu kommen

Wenn diese Datei als php gespeichert ist und kein echo $passwort macht, dann ist das ganze auch ohne htaccess relativ sicher. An den Quellcode kommt so niemand, denn das File wird ja erst geparst und nur der Output an den Browser zurück gesandt.
Also solange dir der PHP Parser nicht abschmiert, sollte es so oder so relativ sicher sein...

Gruss

tobi

**TobiaZ** · 10-10-2005, 12:57

*lol* Wenn du einen Passwortschutz auf dem Verzeichnis hast, wie willst du dann auf die Datei zugreifen?

**schmalle** · 10-10-2005, 12:59

Original geschrieben von TobiaZ
*lol* Wenn du einen Passwortschutz auf dem Verzeichnis hast, wie willst du dann auf die Datei zugreifen?

per include?

**p-flash** · 10-10-2005, 13:03

Original geschrieben von schmalle
per include?

Genau. Im .htaccess würde dann deny from all stehen. Ist dieses Verfahren sicher?

p-flash

**TobiaZ** · 10-10-2005, 13:06

Dass muss man auch sagen!

kannst die datei auch direkt außerhalb des webroots platzieren. dann ist noch sicherer!

**jahlives** · 10-10-2005, 13:20

Genau. Im .htaccess würde dann deny from all stehen. Ist dieses Verfahren sicher?

Ähm, wenn du ein Deny from All drin hast, dann kannst du ÜBERHAUPT nicht auf die Datei zugreifen (include, file_get_contents oder was auch immer)
Wenn schon

Code:

Order Allow,Deny

Allow from 127.0.0.1
Allow from localhost

Den Localhost Eintrag brauchst du nur, wenn du die Dateien mittels http:// aufrufen willst.

Gruss

tobi

**mrhappiness** · 10-10-2005, 13:29

Original geschrieben von jahlives
Ähm, wenn du ein Deny from All drin hast, dann kannst du ÜBERHAUPT nicht auf die Datei zugreifen (include, file_get_contents oder was auch immer)

[ ] Du lügst
[ ] Du hast keine Ahnung

zutreffendes bitte ankreuzen

**schmalle** · 10-10-2005, 13:31

*g*

**jahlives** · 10-10-2005, 13:36

[x] Hast keine Ahnung

Ich habe das bis jetzt immer so gemacht, wenn ich nur lokal auf die Scripte zugreifen wollte. Habe es jetzt aber mal mit Deny from all gemacht und es funzt immer noch. Wohl aber nur weil ich die Dateien mittels lokalen Dateisystem öffne (für URL Open müsste der Eintrag trotzdem drin stehen)

Sorry für meine Unwissenheit

Gruss

tobi

Sicherheitsfrage