| | | | |
01.10.2009, 20:30
| |
| Neuer Benutzer Registriert seit: 29.07.2009
Beiträge: 6
PHP-Kenntnisse: Anfänger  |  Zugriffsschutz mittels PHP oder durch htaccess? Hallo und guten Abend, es geht um Folgendes: Wir entwickeln z. Zt. einen kleinen Webshop, der auf PHP und MySQL basiert. Die Verzeichnisse, in denen die Scriptdateien liegen, sind durch eine htaccess-Datei vor http-Zugriffen gesichert. Nun haben wir auch einen Admin-Bereich, in dem wir z.B. unsere Artikeldaten erfassen (es geht um Bücher) oder kleine Reports generieren wollen - kurz, hier kann mehr oder weniger direkt mit der DB interagiert werden. Außer uns darf da natürlich niemand ran  .Meine Frage geht nun dahin, welche Methode des Verzeichnisschutzes ausreichende Sicherheit davor bietet, dass sich Leute in unserem Admin-Bereich austoben können, die dort nichts verloren haben  .Bietet die htaccess/htpasswd-Methode hinreichend Schutz, oder ist es ratsamer, ein mehr oder weniger komplexes PHP-Konstrukt zu entwickeln (Stichworte: Login, Logout, Sessions, Timeout, User und PWs (letztere verschlüsselt) in DB ablegen etc...)? Die Nutzung einer entsprechenden htaccess-Datei ist natürlich unvergleichlich weniger aufwendig, und wenn die Sicherheit nicht darunter leidet, würde ich diese Variante wohl vorziehen. Was haltet Ihr für zweckmäßiger? Danke schonmal für's Feedback und schöne Grüße, Steffen |
|
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
01.10.2009, 20:52
| |
| Benutzer  Registriert seit: 25.02.2008
Beiträge: 55
PHP-Kenntnisse: Anfänger | Hallo, .htaccess ist meiner Meinung nach die beste Variante um etwas passwortzuschützen. |
|
|
|
01.10.2009, 20:53
| |
| Erfahrener Benutzer Registriert seit: 28.03.2008
Beiträge: 1.847
| also ich halte .htaccess für sicherer als ein selbstgeschmiedeten login |
|
|
|
01.10.2009, 21:17
| |
| Erfahrener Benutzer  Registriert seit: 01.11.2008
Beiträge: 825
PHP-Kenntnisse: Anfänger | was haltet ihr von einem doppeltem schutz für den admin bereich? htaccess und loginscript`? (nein ich bin mir sicher das mein script sicher ist.. nur das wäre eine "doppelte hürde" für angreifer...) aufjedenfall ist eine ssl verbindung zu empfehlen!! egel ob htaccess oder login script Geändert von taurus (01.10.2009 um 21:23 Uhr). |
|
|
|
01.10.2009, 21:26
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.989
PHP-Kenntnisse: Fortgeschritten  | taurus: In letzter Zeit habe ich das Gefühl, Du willst alles doppelt und dreifach absichern. Das ist aber Quatsch. Eine gute Lösung ist im allg. die bessere Wahl.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
01.10.2009, 21:31
| |
| Erfahrener Benutzer Registriert seit: 01.11.2008
Beiträge: 825
PHP-Kenntnisse: Anfänger | stimmt... ich suche die 100% lösung..  |
|
|
|
01.10.2009, 21:32
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.989
PHP-Kenntnisse: Fortgeschritten | Die gibt es nicht.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
|
01.10.2009, 21:37
| |
| Erfahrener Benutzer Registriert seit: 01.11.2008
Beiträge: 825
PHP-Kenntnisse: Anfänger | *ironie*  zurück zum thema.. ist htaccess sicherer als ein sehr gut programmiertes login script? ich tippe mal auf.. nein |
|
|
|
01.10.2009, 21:40
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.989
PHP-Kenntnisse: Fortgeschritten | Das Problem ist die schwere Administrierbarkeit (muss ja immer die .htpasswd geändert werden) und die fehlende Möglichkeit eines Logout (Man denke an Logins an öffentlichen Rechnern).
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
|
01.10.2009, 21:55
| ||
| Erfahrener Benutzer Registriert seit: 28.05.2008
Beiträge: 2.094
PHP-Kenntnisse: Fortgeschritten | Zitat:
grüße | |
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Weiterleitung mit htaccess ? | corun | Server, Hosting und Workstations | 5 | 09.08.2009 23:33 |
| disallow via htaccess | pirita | PHP Tipps 2009 | 10 | 26.05.2009 13:42 |
| Wireshark SSL Handshake debugging-Handshake protokoll mittels PHP + Curl | brian johnson | Off-Topic Diskussionen | 0 | 06.11.2008 11:54 |
| mit htaccess keine indizierung in der suchmaschine | rady | Server, Hosting und Workstations | 7 | 27.06.2008 16:03 |
| htaccess: Bestimmte IP oder Passwortabfrage | webbi | Server, Hosting und Workstations | 2 | 19.10.2006 10:57 |
| Übergabe von eingegebenem String mittels Formular und POST?! | vampsoftchef | PHP Tipps 2006 | 7 | 18.10.2006 20:06 |
| htaccess in php | PHP Tipps 2007 | 17 | 22.11.2005 13:40 | |
| htaccess Weiterleitung bei Subdomains | Beitragsarchiv | 2 | 02.08.2005 15:09 | |
| [Erledigt] htaccess 2 Zugänge => Weitergabe an PHP^ | PHP-Fortgeschrittene | 2 | 23.07.2005 13:29 | |
| mysql mittels php abfragen- array problem | PHP Tipps 2005-2 | 6 | 20.07.2005 15:21 | |
| allgemeine frage | mysql und htaccess | notyyy | Datenbanken | 13 | 18.05.2005 21:01 |
| Neuer Strato Server apache 2 Mod Rewrite & htaccess Prob | Stemmi | Server, Hosting und Workstations | 4 | 02.05.2005 00:29 |
| Frage zu htaccess & rewrite rules mit regex | PHP Tipps 2005 | 6 | 08.03.2005 16:18 | |
| PDF Generator mit htaccess Problem | imported_dex | PHP Tipps 2004-2 | 1 | 25.11.2004 10:47 |
| automatischer htaccess login | PHP Tipps 2004 | 0 | 12.09.2004 17:09 | |
