[php] login per formular

**Meflin**

Zitat von himitsu:

es gibt ja auch möglichkeiten beim z.B. beim Download nicht den Dateinamen direkt anzugeben, sondern das über ein Script zu leiten, so ist es auch möglich den original Dateinamen zu verbergen, so das sie sich sogar in einem ungeschützten Bereich liegen kann (da ja "keiner" den Namen kennt)

z.B.

http://FNSE.de/S.php?0A1

man könnte ja auch noch in dem Script einiges prüfen
(z.B. über die Kekse, oder den Referer, oder ähnliches, ob der Zugriff überhaupt erlaubt ist)

den referer sollte man nie aber auch wirklich nie für sicherheitsrelevante zwecke verwenden, der ist leichter fälschbar wie ein kreuz als unterschrift!

**himitsu**

ich meinte ja auch nicht nur den, aber z.B. die Daten von LogInScript sind eine gute Möglichkeit - schließlich muß dieses ja wisen, ob jemand rein darf, oder nicht.

[edit]
und den Referer hab ich bei mir auch nur vorgesehn, damit es "nicht möglich" ist eine Datei direkt in 'ne andere Webseite einzubauen, wo ich das nicht möchte.

**FastJack2**

Hy

also was auf jeden Fall funktioniert ist, wenn du einfach per js auf das htaccess geschütze Vereichnis verlinkst und einfach die logindaten davorschreibst...
etwa so:
username:password@www.meinserver.de/geschuetztesverzeichnis/

dann kommt die htaccess-box nur, wenn du nen falsches Login eingibst ...

anders ist es afaic nicht möglich eine htaccess Abfrage zu kapseln...

greetz
-FastJack2

**himitsu**

Zitat von FastJack2:

Hy

also was auf jeden Fall funktioniert ist, wenn du einfach per js auf das htaccess geschütze Vereichnis verlinkst und einfach die logindaten davorschreibst...
etwa so:
username:password@www.meinserver.de/geschuetztesverzeichnis/

funktionieren mag das wohl, aber dieses bedeutet, dass sich irgendwo in der Browsercache der Users deren Username und Passwort als Klartext (unverschlüsselt) rumgeistert und das unter Umständen sogar über längere Zeit.

**Mamphil**

Hi!

Zitat von himitsu:

Du könntest auch PHP mißhandeln und die Daten in 'ner .php-Datei speichern

markieren

Code:

			<?php

//[color=red]Zeile 1[/color]

//[color=red]Zeile 2[/color]

//[color=red]Zeile 3[/color]

?>Zugriff verweigert

Wie bitte?

Pack doch die Dateien einfach in ein .htaccess-geschützes Verzeichnis, auf das kein User zugreifen kann. Wenn du nach überprüftem Login die Dateien anzeigen lassen willst, kannst du einfach ein include('my_sec_dir/'...); oder ein file('my_sec_dir/'...); machen. PHP schert sich nämlich einen Dreck um irgendwelche Apache-.htaccess-Files.

Mamphil

**Meflin**

äh nö tut es scheinbar nicht sonst würde ja so wie ers hat funzen oder was?

[php] login per formular

Re: [php] login per formular

Re: [php] login per formular

Re: [php] login per formular

Re: [php] login per formular

Re: [php] login per formular

Re: [php] login per formular

Forumregeln

Meflin Registriert seit: 21. Aug 2003 4.856 Beiträge	#26 Re: [php] login per formular 6. Sep 2004, 16:54 äh nö tut es scheinbar nicht sonst würde ja so wie ers hat funzen oder was? Leo S. https://github.com/leoschweizer
	Zitat