Verzeichnisschutz mit PHP

xadmin · 28.09.2010, 23:29

Hallo, dies ist mein erster Beitrag hier.

Ich arbeite der Zeit an einem Projekt in welchem ich mich via Login Form und MySQL DB an einer Website anmelde. Das einloggen an sich funktionier soweit.
Leider bin ich dabei auf einige Probleme gestoßen, zu welchen ich euch nun befragen möchte.

1. Nach dem Login möchte ich, dass der Benutzer auf eine andere *.php Seite weitergeleitet wird. Dies funktioniert leider nicht mit der header(); Funktion, da durch den MySQL Query der Header schon belegt ist. Ich habe das also mit meta http refresh gelöst. Geht das auch anders?
Das ist leider auch nicht das Wahre, da das Zielverzeichnis derzeit noch HTACCESS geschützt ist. (sensible Daten).

Wo ich schon bei der nächsten Fragen wäre:
2. Wie kann ich ein Verzeichnis und die dort enthaltenen Dateien (z.B. *.pdf *.doc *.zip) vor dem Direktzugriff schützen? Also ohne HTACCESS und nur mit PHP.

Nun ja für den Moment reicht es mit den Problemen.
Hoffe ihr könnt mir Helfen.

grüße
x

edit:
Hier nochmal mein PHP Code fals er erforderlich ist.

PHP-Code:

  <?php
if (isset($_POST['Submit']) && $_POST['Submit'] == 'Login') 
    {
    if (isset($_POST['pass'])) 
        {
        }
    $db_host = localhost;
    $db_username = benutzer;
    $db_password = "passwort";
    $db_name = datenbank;
    mysql_connect($db_host, $db_username, $db_password);
    mysql_select_db($db_name);
    $sql = "SELECT pw FROM passwords WHERE username LIKE '".$_POST['username']."'"; 
    $result = mysql_query($sql) or die(mysql_error());
    $md5password = mysql_fetch_assoc($result);
    if($md5password[pw]==md5($_POST['password'])) 
        {
        echo "passwort richtig";
        #header("Location: ../admin/");
        echo "<meta http-equiv=refresh content=\"0; url=../admin/\">";
        }
        else 
            {
            echo "falsches passwort";
            } 
    }
?>

Chriz · 28.09.2010, 23:53

Hallo,

lege deine geschuetzten Dateien in einem Verzeichnis ab, das ueber http nicht erreichbar ist (also unterhalb des DOCUMENT ROOT). Mit PHP kannst du trotzdem jederzeit auf die Dateien zugreifen (da es nicht ueber http auf die Dateien zugreift, sondern direkt ueber die Festplatte sozusagen). Hier kannst du dann vorher deine is-logged-in-Pruefung einbauen.

Wie du einen Download anbietest, findest du im PHP-Handbuch unter der Funktion header().

Trainmaster · 29.09.2010, 00:07

Zitat:

Zitat von xadmin

da durch den MySQL Query der Header schon belegt ist.

What the f...? Achso, jetzt hab ich verstanden was du meinst

. Naja, ist doch kein Wunder, wenn vor dem header() ein echo-Befehl steht.

xadmin · 29.09.2010, 11:34

Zitat:

Zitat von Chriz

Hallo,

lege deine geschuetzten Dateien in einem Verzeichnis ab, das ueber http nicht erreichbar ist (also unterhalb des DOCUMENT ROOT)..

Cool, danke für den Tipp.
Werd das mal so ausprobieren...

Zitat:

Zitat von Trainmaster

Naja, ist doch kein Wunder, wenn vor dem header() ein echo-Befehl steht.

Ah danke. Daran liegt es also

mindphuk · 30.09.2010, 15:21

Was ist schlimm an einer htaccess mit einem Inhalt wie

Code:

Order deny,allow
Deny from all

Dann sollte nur der lokale Zugriff über file möglich sein.

Dark Guardian · 30.09.2010, 15:55

Eben.

.htaccess in das Verzeichnis mit "deny from all".

Dann kommt von außen keiner mehr dran. Da PHP aber auf dem Server liegt, kann PHP nahc wie vor auf diese Dateien zugreifen. Oberhalb des geschützten Verzeichnisses legst du eine PHP Datei ab über welche du dann Sicherheitsprüfungen durchführen kannst bevor php z.B. mit readfile() die gewünschte Datei ausliest und an den Browser sendet.

Zitat:

Ah danke. Daran liegt es also

PHP wirft da so eine schöne Fehlermeldung: Warning: Cannot modify header information, headers already send. (output started at ... in ...) in ......

Nicht zu wissen was da passiert zeugt von einem grundlegendem Verständnissfehler bei der Funktionsweiße des HTTP Protokolls.

lstegelitz · 30.09.2010, 15:55

Schlimm ist daran nix, IMHO ist das sogar mit die sauberste Lösung.
Die Anforderung war allerdings:

Zitat:

2. Wie kann ich ein Verzeichnis und die dort enthaltenen Dateien (z.B. *.pdf *.doc *.zip) vor dem Direktzugriff schützen? Also ohne HTACCESS und nur mit PHP.

Dark Guardian · 30.09.2010, 16:04

Zitat:

Zitat von lstegelitz

Schlimm ist daran nix, IMHO ist das sogar mit die sauberste Lösung.
Die Anforderung war allerdings:

Da hast du schon recht. Aber da er es mit htaccess schützen kann (da es ja momentan so ist) sollte er das meiner Meinung nach auch beibehalten.

Ggf. weiss er auch nicht das PHP trotz htaccess drauf zugreifen kann wenn er schon davon spricht das ein <meta refreash... wegen dem .htaccess Schutz nicht das wahre ist? Geschweige denn das es keinen HTTP Direktzugriff zum Download benötigt sondern PHP die Daten an den Anwender übermitteln kann.

Ansonsten, falls er umzieht auf einen Server wo der .htaccess Schutz nicht möglich ist, wäre Chriz Lösung sinnvoll sofern dort kein open_basedir gesetzt ist...

drsoong · 30.09.2010, 17:03

Zitat:

Ansonsten, falls er umzieht auf einen Server wo der .htaccess Schutz nicht möglich ist, wäre Chriz Lösung sinnvoll sofern dort kein open_basedir gesetzt ist...

Sollte open_basedir nicht immer gesetzt werden?

mindphuk · 30.09.2010, 17:08

Genau darum habe ich gefragt, was daran schlimm ist. Sprich, warum nicht benutzen?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

28.09.2010, 23:29
xadmin Neuer Benutzer Registriert seit: 28.09.2010 Beiträge: 4 PHP-Kenntnisse: Anfänger	Verzeichnisschutz mit PHP Hallo, dies ist mein erster Beitrag hier. Ich arbeite der Zeit an einem Projekt in welchem ich mich via Login Form und MySQL DB an einer Website anmelde. Das einloggen an sich funktionier soweit. Leider bin ich dabei auf einige Probleme gestoßen, zu welchen ich euch nun befragen möchte. 1. Nach dem Login möchte ich, dass der Benutzer auf eine andere .php Seite weitergeleitet wird. Dies funktioniert leider nicht mit der header(); Funktion, da durch den MySQL Query der Header schon belegt ist. Ich habe das also mit meta http refresh gelöst. Geht das auch anders? Das ist leider auch nicht das Wahre, da das Zielverzeichnis derzeit noch HTACCESS geschützt ist. (sensible Daten). Wo ich schon bei der nächsten Fragen wäre: 2. Wie kann ich ein Verzeichnis und die dort enthaltenen Dateien (z.B. .pdf .doc .zip) vor dem Direktzugriff schützen? Also ohne HTACCESS und nur mit PHP. Nun ja für den Moment reicht es mit den Problemen. Hoffe ihr könnt mir Helfen. grüße x edit: Hier nochmal mein PHP Code fals er erforderlich ist. PHP-Code: <?php if (isset($_POST['Submit']) && $_POST['Submit'] == 'Login') { if (isset($_POST['pass'])) { } $db_host = localhost; $db_username = benutzer; $db_password = "passwort"; $db_name = datenbank; mysql_connect($db_host, $db_username, $db_password); mysql_select_db($db_name); $sql = "SELECT pw FROM passwords WHERE username LIKE '".$_POST['username']."'"; $result = mysql_query($sql) or die(mysql_error()); $md5password = mysql_fetch_assoc($result); if($md5password[pw]==md5($_POST['password'])) { echo "passwort richtig"; #header("Location: ../admin/"); echo "<meta http-equiv=refresh content=\"0; url=../admin/\">"; } else { echo "falsches passwort"; } } ?> Geändert von xadmin (28.09.2010 um 23:35 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.09.2010, 23:53
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.269	Hallo, lege deine geschuetzten Dateien in einem Verzeichnis ab, das ueber http nicht erreichbar ist (also unterhalb des DOCUMENT ROOT). Mit PHP kannst du trotzdem jederzeit auf die Dateien zugreifen (da es nicht ueber http auf die Dateien zugreift, sondern direkt ueber die Festplatte sozusagen). Hier kannst du dann vorher deine is-logged-in-Pruefung einbauen. Wie du einen Download anbietest, findest du im PHP-Handbuch unter der Funktion header(). __________________ "Nuschel ich?" - "Was?"

30.09.2010, 15:21
mindphuk Neuer Benutzer Registriert seit: 28.09.2010 Beiträge: 11 PHP-Kenntnisse: Anfänger	Was ist schlimm an einer htaccess mit einem Inhalt wie Code: Order deny,allow Deny from all Dann sollte nur der lokale Zugriff über file möglich sein.

30.09.2010, 17:08
mindphuk Neuer Benutzer Registriert seit: 28.09.2010 Beiträge: 11 PHP-Kenntnisse: Anfänger	Genau darum habe ich gefragt, was daran schlimm ist. Sprich, warum nicht benutzen?