einfacher Kennwortschutz:WWW-authenticate: basic realm=\&quo

29.03.2005, 14:30

Hallo,

ich beschäftige mich gerade mit einem "Kennwortschutz". Auf der Seite von Internet Professionell habe ich mir ein Beispiel-Skritp herunter geladen.

Fragen:

- Warum funktioniert es bei mir zuhause, aber nicht im Netz?
- Wie "deutlich" sicherer wäre es wenn ich $PHP_AUTH_USER mit md5() verschlüsseln würde und das verschlüsselte Passwort anstatt dem Klartext-Passwort speichern würde?
- Werden $PHP_AUTH_PW und $PHP_AUTH_USER vom Webserver joder PHP gesetzt?

Bei mir zuhause funktioniert es einwandfrei, im Netz nicht mehr:

Code:

<? 
// Einfacher Username und Kennwort 
// Achtung: Extrem unsicher, nur 
// zu Demo-Zwecken 
$NAME_REQUIRED = "ipro"; 
$PW_REQUIRED = "test"; 

//Authentifizierung 
function authenticate(){ 
      Header("WWW-authenticate: basic realm=\"Internet Professionell\""); 
      Header("HTTP/1.0 401 Unauthorized"); 
      echo "Nicht berechtigt"; 
      exit; 
} 

// Ueberpruefen, ob schon ein User 
// gesetzt ist, wenn nein, 
// dann Kennwort abfragen 
if (!isset($PHP_AUTH_USER)) 
     authenticate(); 
     else { 
         if(($NAME_REQUIRED == $PHP_AUTH_USER) && 
                      ($PW_REQUIRED == $PHP_AUTH_PW)) 
                echo ("Hallo $PHP_AUTH_USER"); 
         else 
           authenticate(); 
} 
?>

29.03.2005, 14:41

Zitat:

Zitat von atreidis

Auf der Seite von Internet Professionell habe ich mir ein Beispiel-Skritp herunter geladen.

Das Script ist steinalt.

Zitat:

Fragen:
- Warum funktioniert es bei mir zuhause, aber nicht im Netz?

KA, wie Deine Config "zu Hause" und "im Netz" aussieht.

Zitat:

- Werden $PHP_AUTH_PW und $PHP_AUTH_USER vom Webserver joder PHP gesetzt?

Nur wenn Du eine ebenso alte PHP Version verwendest.

Einfach mal mit einem phpinfo kontrollieren, wie die Variablen wirklich heißen.

btw: Dein Script funktioniert nur dann, wenn PHP als Apache Modul vorliegt.

29.03.2005, 15:50

Zitat:

Zitat von meikel

Zitat:

Zitat von atreidis

Auf der Seite von Internet Professionell habe ich mir ein Beispiel-Skritp herunter geladen.

Das Script ist steinalt.

Nur weil es vor einer Ewigkeit entstanden ist, muss es doch nicht schlecht sein, oder? Sollte ich's anders machen?

Zitat:

Zitat von meikel

Einfach mal mit einem phpinfo kontrollieren, wie die Variablen wirklich heißen.

phpinfo() hat nichts von $PHP_AUTH_USER o.ä. "zuhause" (PHP-4.3.4) angezeigt, mein Webspace ist bei Lycos, PHP-4.3.2. D.h. zuhause ist neuer als bei Lycos und phpinfo() zeigt nichts von der Variablen $PHP_AUTH_USER an, trotzdem funktioniert's??

Hätten die Variablen in der Tabelle "PHP Variables" erscheinen müssen?

Zitat:

Zitat von meikel

btw: Dein Script funktioniert nur dann, wenn PHP als Apache Modul vorliegt.

Das ist dann wahrscheinlich bei mir zuhause der Fall (ich benutze xampp) und im Netz nicht mehr. Das würde einen Teil von dem merkwürdigem oben beschriebenem Verhalten erklären. Warum $PHP_AUTH_USER u.a. Variablen nicht angezeigt werden und es aber trotzdem funktioniert, weiß ich noch nicht...

robo47 · 29.03.2005, 15:53

läuft es bei Lycos vieleicht im CGI-Modus? mal nen link zu ner phpinfo posten?

29.03.2005, 16:52

Zitat:

Zitat von atreidis

Zitat:

Zitat von meikel

Zitat:

Zitat von atreidis

Auf der Seite von Internet Professionell habe ich mir ein Beispiel-Skritp herunter geladen.

Das Script ist steinalt.

Nur weil es vor einer Ewigkeit entstanden ist, muss es doch nicht schlecht sein, oder? Sollte ich's anders machen?

Ja.

PHP-Code:

  <?php

function check_pw($u, $p) {

 return ($u == 'testuser' AND $p == 'testpasswort')

   ? true

   : false;

}

 
if (! isset($_SERVER['PHP_AUTH_USER']) 

 or !check_pw($_SERVER['PHP_AUTH_USER'] , $_SERVER['PHP_AUTH_PW']))

{

    Header("WWW-Authenticate: Basic realm=\"My Realm\"");

    Header("HTTP/1.0 401 Unauthorized");

    echo "Text to send if user hits Cancel button\n";

    exit;

} else {

    echo 'Hello ' . $_SERVER['PHP_AUTH_USER']. '

';

    echo 'You entered ' . $_SERVER['PHP_AUTH_PW'] as your password . '

';

}

?>

Zitat:

Hätten die Variablen in der Tabelle "PHP Variables" erscheinen müssen?

Ja. Letzte Tabelle: $_SERVER[...]

Zitat:

Zitat von meikel

btw: Dein Script funktioniert nur dann, wenn PHP als Apache Modul vorliegt.

Das ist dann wahrscheinlich bei mir zuhause der Fall (ich benutze xampp) und im Netz nicht mehr.

Generell erst mal das zum Nachlesen:
http://de2.php.net/manual/de/features.http-auth.php
Dort findest Du auch Anwendungsbeispiele.

Wahrscheinlich liegt es daran, daß Du a. die falschen Variablen verwendest und b. "zu Hause" register_globals = On hast.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

29.03.2005, 14:30
Gast Beiträge: n/a	einfacher Kennwortschutz:WWW-authenticate: basic realm=\&quo Hallo, ich beschäftige mich gerade mit einem "Kennwortschutz". Auf der Seite von Internet Professionell habe ich mir ein Beispiel-Skritp herunter geladen. Fragen: - Warum funktioniert es bei mir zuhause, aber nicht im Netz? - Wie "deutlich" sicherer wäre es wenn ich $PHP_AUTH_USER mit md5() verschlüsseln würde und das verschlüsselte Passwort anstatt dem Klartext-Passwort speichern würde? - Werden $PHP_AUTH_PW und $PHP_AUTH_USER vom Webserver joder PHP gesetzt? Bei mir zuhause funktioniert es einwandfrei, im Netz nicht mehr: Code: <? // Einfacher Username und Kennwort // Achtung: Extrem unsicher, nur // zu Demo-Zwecken $NAME_REQUIRED = "ipro"; $PW_REQUIRED = "test"; //Authentifizierung function authenticate(){ Header("WWW-authenticate: basic realm=\"Internet Professionell\""); Header("HTTP/1.0 401 Unauthorized"); echo "Nicht berechtigt"; exit; } // Ueberpruefen, ob schon ein User // gesetzt ist, wenn nein, // dann Kennwort abfragen if (!isset($PHP_AUTH_USER)) authenticate(); else { if(($NAME_REQUIRED == $PHP_AUTH_USER) && ($PW_REQUIRED == $PHP_AUTH_PW)) echo ("Hallo $PHP_AUTH_USER"); else authenticate(); } ?>


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.03.2005, 15:53
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	läuft es bei Lycos vieleicht im CGI-Modus? mal nen link zu ner phpinfo posten? __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework