Mailinglisten-Archive |
> > Wenn ich mich mittels .htaccess authentiziere, dann steht das > > Passwort ja anschließend in PHP_AUTH_PW. An welche Seiten wird > > das PW denn im weiteren Verlauf übermittelt? > > das passwort steht nicht in dieser var, es steht in keiner var, > du kannst nur $REMOTE_USER für deine zwecke gebrauchen ! > > a) www.meinserver.de -> ja (Seite, auf der Authentizierung stattfand) > > b) www.meinserver.de/~user (auch, oder?) > > Das bedeutet im Prinzip doch, daß wenn ich mich auf a) authentiziere, > > dann könnte ein user mit eigener Homepage auf b) ein kleines PHP Skript > > in seine Seiten einbauen und mein PW und Username auslesen, oder? > > nein, das wäre ja eine tolle sicherheitslücke Hm, da bin ich aber anderer Meinung... Auf meinem Server (PHP4) mache ich ein .htaccess um auf ein Unterverzeichnis zugreifen zu können. Anschließend wird beim Aufruf der Seite PHP_AUTH_PW und PHP_AUTH_USER ausgelesen, um mich auch gegenüber mySQL zu authentizieren. Das klappt so schon einmal. Wenn ich dann in einem User-Verzeichnis, wie in b) z.B. phpinfo(); ausführe, dann kann ich dort mein PW im Klartext lesen... Und das verwirrt mich etwas. Gruß Kai. ------------------------------------------------------------ Kai Stukenbrock Volkswirtschaftliches Seminar der Universität Göttingen http://www.vwl.wiso.uni-goettingen.de ------------------------------------------------------------ "Tatsaechlich weicht in Wahrheit die Realitaet haeufig von der Wirklichkeit ab."
php::bar PHP Wiki - Listenarchive