Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP] Ordner im FTP "verstecken" bzw schützen [Schon gelöst] (https://www.delphipraxis.net/130509-%5Bphp%5D-ordner-im-ftp-verstecken-bzw-schuetzen-%5Bschon-geloest%5D.html)

sarte 9. Mär 2009 19:02
[PHP] Ordner im FTP "verstecken" bzw schützen [Sch
 
Hallo Leute,
ich habe mal wieder zwei Fragen:

1. Wie kann man Funktionen vor einem Aufruf schützen? Z.B. Ein User loggt sich ein und kann eine Uploadfunktion benutzen. Wenn er aber klug ist, muss er einfach domain.tld/function/upload.php aufrufen. So muss er nicht eingeloggt sein. Kann man dies verhindern? Ohne zu überprüfen ob die Cookies vorhanden sind etc. Sprich, dass man mit chmod den direkten Aufruf verhindert aber dass Php trotzdem upload für den User aufrufen kann.

2. Wenn ich Programme zum Downloaden anbiete und mit mehreren Headers den Pfad der Datei verberge, (z.b. download.php?id=1) kann man trotzdem, wenn man mein Verzeichniss kennt, auf die Dateien raufkommen und runterladen. Kann ich dies wie bei Frage 1 verbieten?

Danke,
Sarte

Matze 9. Mär 2009 19:06
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Hallo,

bitte gestalte deinen Titel etwas aussagekräftiger, sodass ersichtlich ist, dass es um den Schutz von Downloads geht.

Zu 1:
Wenn sich der Benutzer anmelden kann, dann kannst du doch einfach überprüfen, ob er angemeldet ist oder nicht. Das sollte doch kein Problem sein, wenn schon ein Session-System vorhanden ist.

Zu 2:
Schütze das Verzeichnis mittels .htaccess.

Grüße, Matze

Edit: Ah das mit dem Titel hast du wohl selbst gemerkt. :)

sarte 9. Mär 2009 19:11
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Zitat:
Zitat von Matze
Hallo,

bitte gestalte deinen Titel etwas aussagekräftiger, sodass ersichtlich ist, dass es um den Schutz von Downloads geht.

Edit: Ah das mit dem Titel hast du wohl selbst gemerkt. :)
Tut mir leid, habe es vergessen :P

Zitat:
Zitat von Matze

Zu 1:
Wenn sich der Benutzer anmelden kann, dann kannst du doch einfach überprüfen, ob er angemeldet ist oder nicht. Das sollte doch kein Problem sein, wenn schon ein Session-System vorhanden ist.
Ich dachte das würde noch eleganter gehen, um die kleine Abfrage zu vermeiden.

Zitat:
Zitat von Matze

Schütze das Verzeichnis mittels .htaccess.
Wenn ich das mit einem Passwort schütze, dann weiß ich nicht wie ich das mit dem Upload mache. Kann dann PHP durch die Sperre durchkommen?

Matze 9. Mär 2009 19:13
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Hi,

ein "Deny from all" in der .htaccess sollte zuverlässig vor direktem Dateiaufruf in dem Upload-Verzeichnis schützen.
PHP juckt das nicht. Damit kannst du weiterhin ganz normal auf das Verzeichnis zugreifen. Probiere es einfach aus. ;)

Grüße, Matze

sarte 9. Mär 2009 19:14
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Danke :)

Meflin 9. Mär 2009 19:28
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Zitat:
Zitat von sarte
Ich dachte das würde noch eleganter gehen, um die kleine Abfrage zu vermeiden.
Gegenfrage: Was störtdich an der Abfrage?!

himitsu 9. Mär 2009 19:32
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
also angemeldete User sollen über die upload.php Dateien hochladen können?

Dann müssen sie diese auch aufrufen können (egal ob per Link oder direkt).
Und wenn du jetzt den Zugriff für alle sperrst (z.B. per .htaccess), dann kann doch keiner mehr was hochladen? :gruebel:

Matze 9. Mär 2009 19:51
Re: [PHP] Ordner im FTP "verstecken" bzw schützen
 
Die upload.php darf sich natürlich nicht im Upload-Verzeichnis mit der .htaccess-Datei befinden.

Die Struktur wäre bsp:

- /upload.php
- /uploads/
- /uploads/.htaccess

Dann sollte es eigentlich funktionieren.

Grüße, Matze


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:14 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz