phpbar.de logo

Mailinglisten-Archive

[php] user-db mit passwort

[php] user-db mit passwort

Thomas Feyrer Dante_(at)_altmuehlnet.baynet.de
Thu, 11 Mar 1999 18:13:24 +0100


Hi,
Ralf Geschke <ralf_(at)_kuerbis.org> wrote:
> Hallo !
> > Vorteil: Geschwindigkeit für die Prüfung bei vielen Nutzern, Nachteil: 
> > Eine weitere Hacker-Angriffsstelle. Doch die gibt es auch bei der 
> > Datei-Variante (einfach http://foo.bar.com/.htaccess auslesen und 
> > nach Infos durchstöbern, ist dort ein AuthUserFile vorhanden, 
> > dieses lesen).

Also soweit ich weiss kann man doch im apache (direkt in einer .conf)
einstellen, das die .htaccess files nicht angezeigt werden... dürfte auch
standart-einstellung sein...
und das AuthUserFile legt man doch dann nicht direkt mit ins verzeichnis,
sondern in eines, das über http nicht erreichbar ist... z.B. in sein eigenes
home-verzeichnis...

> Weiterer Nachteil: Es koennen nur Verzeichnisse, keine einzelnen
> Dateien oder gar Bereiche von Dateien geschuetzt werden. 
> 
> Dann lieber PHP mit $PHP_AUTH_USER und $PHP_AUTH_PW, vgl. Chapter 2,
> HTTP authentication with PHP. Damit kann der Zugriffsschutz viel
> genauer spezifiziert werden. 
> Wer interessiert ist, kann mein Standard-Includefile, welches das
> Verfahren inkl. Abfrage einer Username/Passwort-Datenbank
> implementiert, haben. 

Ausserdem hilft mir der passwort check per HTTP nichts... da die datenbank so
oder so existiert und dort noch weiter info's über den user gespeichert sind
(wie email, und sonstige einstellungen)...
ich hab das ganze jetzt mit einem:
    $result=mysql_query( "SELECT * FROM user WHERE name='$name' AND
password=PASSWORD('$password')" ) or die( "Access Denied!" );
gelöst...

dein standart-includefile würde ich aber trotzdem gerne haben ;)

Gruss
  Domas
-- 
"I know you believe you understand what you think I said, but I am not sure
   you realize that what you heard is not what I meant" - Author unknown


php::bar PHP Wiki   -   Listenarchive