Delphi-PRAXiS
Seite 3 von 3     123   
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [php] login per formular (https://www.delphipraxis.net/29234-%5Bphp%5D-login-per-formular.html)

Meflin 6. Sep 2004 14:03
Re: [php] login per formular
 
Zitat:
Zitat von himitsu
es gibt ja auch möglichkeiten beim z.B. beim Download nicht den Dateinamen direkt anzugeben, sondern das über ein Script zu leiten, so ist es auch möglich den original Dateinamen zu verbergen, so das sie sich sogar in einem ungeschützten Bereich liegen kann (da ja "keiner" den Namen kennt)

z.B. http://FNSE.de/S.php?0A1

man könnte ja auch noch in dem Script einiges prüfen
(z.B. über die Kekse, oder den Referer, oder ähnliches, ob der Zugriff überhaupt erlaubt ist)
den referer sollte man nie aber auch wirklich nie für sicherheitsrelevante zwecke verwenden, der ist leichter fälschbar wie ein kreuz als unterschrift!

himitsu 6. Sep 2004 14:18
Re: [php] login per formular
 
ich meinte ja auch nicht nur den, aber z.B. die Daten von LogInScript sind eine gute Möglichkeit - schließlich muß dieses ja wisen, ob jemand rein darf, oder nicht.

[edit]
und den Referer hab ich bei mir auch nur vorgesehn, damit es "nicht möglich" ist eine Datei direkt in 'ne andere Webseite einzubauen, wo ich das nicht möchte.

FastJack2 6. Sep 2004 14:31
Re: [php] login per formular
 
Hy

also was auf jeden Fall funktioniert ist, wenn du einfach per js auf das htaccess geschütze Vereichnis verlinkst und einfach die logindaten davorschreibst...
etwa so:
username:password@www.meinserver.de/geschuetztesverzeichnis/

dann kommt die htaccess-box nur, wenn du nen falsches Login eingibst ...

anders ist es afaic nicht möglich eine htaccess Abfrage zu kapseln...

greetz
-FastJack2

himitsu 6. Sep 2004 14:36
Re: [php] login per formular
 
Zitat:
Zitat von FastJack2
Hy

also was auf jeden Fall funktioniert ist, wenn du einfach per js auf das htaccess geschütze Vereichnis verlinkst und einfach die logindaten davorschreibst...
etwa so:
username:password@www.meinserver.de/geschuetztesverzeichnis/
funktionieren mag das wohl, aber dieses bedeutet, dass sich irgendwo in der Browsercache der Users deren Username und Passwort als Klartext (unverschlüsselt) rumgeistert und das unter Umständen sogar über längere Zeit.

Mamphil 6. Sep 2004 16:17
Re: [php] login per formular
 
Hi!
Zitat:
Zitat von himitsu
Du könntest auch PHP mißhandeln und die Daten in 'ner .php-Datei speichern

Code:
<?php
//[color=red]Zeile 1[/color]
//[color=red]Zeile 2[/color]
//[color=red]Zeile 3[/color]
?>Zugriff verweigert
Wie bitte?

Pack doch die Dateien einfach in ein .htaccess-geschützes Verzeichnis, auf das kein User zugreifen kann. Wenn du nach überprüftem Login die Dateien anzeigen lassen willst, kannst du einfach ein include('my_sec_dir/'...); oder ein file('my_sec_dir/'...); machen. PHP schert sich nämlich einen Dreck um irgendwelche Apache-.htaccess-Files.

Mamphil

Meflin 6. Sep 2004 16:54
Re: [php] login per formular
 
äh nö tut es scheinbar nicht sonst würde ja so wie ers hat funzen oder was? :gruebel:


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:48 Uhr.
Seite 3 von 3     123   
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz