Mailinglisten-Archive |
Hi,
Ralf Geschke <ralf_(at)_kuerbis.org> wrote:
> Hallo !
> > Vorteil: Geschwindigkeit für die Prüfung bei vielen Nutzern, Nachteil:
> > Eine weitere Hacker-Angriffsstelle. Doch die gibt es auch bei der
> > Datei-Variante (einfach http://foo.bar.com/.htaccess auslesen und
> > nach Infos durchstöbern, ist dort ein AuthUserFile vorhanden,
> > dieses lesen).
Also soweit ich weiss kann man doch im apache (direkt in einer .conf)
einstellen, das die .htaccess files nicht angezeigt werden... dürfte auch
standart-einstellung sein...
und das AuthUserFile legt man doch dann nicht direkt mit ins verzeichnis,
sondern in eines, das über http nicht erreichbar ist... z.B. in sein eigenes
home-verzeichnis...
> Weiterer Nachteil: Es koennen nur Verzeichnisse, keine einzelnen
> Dateien oder gar Bereiche von Dateien geschuetzt werden.
>
> Dann lieber PHP mit $PHP_AUTH_USER und $PHP_AUTH_PW, vgl. Chapter 2,
> HTTP authentication with PHP. Damit kann der Zugriffsschutz viel
> genauer spezifiziert werden.
> Wer interessiert ist, kann mein Standard-Includefile, welches das
> Verfahren inkl. Abfrage einer Username/Passwort-Datenbank
> implementiert, haben.
Ausserdem hilft mir der passwort check per HTTP nichts... da die datenbank so
oder so existiert und dort noch weiter info's über den user gespeichert sind
(wie email, und sonstige einstellungen)...
ich hab das ganze jetzt mit einem:
$result=mysql_query( "SELECT * FROM user WHERE name='$name' AND
password=PASSWORD('$password')" ) or die( "Access Denied!" );
gelöst...
dein standart-includefile würde ich aber trotzdem gerne haben ;)
Gruss
Domas
--
"I know you believe you understand what you think I said, but I am not sure
you realize that what you heard is not what I meant" - Author unknown
php::bar PHP Wiki - Listenarchive