Fehl-Logins abfangen

01.09.2004, 21:44

Hallo!

Weiß jemand, ob man per PHP den angegebenen Benutzernamen abfangen kann, wenn der User sein Kennwort falsch eingegeben hat?

Ich habe die übliche Konfiguration mit .htaccess
AuthName "Intranet"
AuthType Basic
AuthUserFile /pfad/.htpasswd
ErrorDocument 401 /pfad/error401.php
<Limit GET>
...

Ziel ist, Fehllogins zu zählen und bei Überschreitung einer best. Anzahl, den Login zu sperren. Normalerweise bekomme ich den Usernamen von der Variable $PHP_AUTH_USER, aber natürlich nur, wenn die Authentifizierung erfolgreich war.

Hat jemand eine Idee?
Vielen Dank!
Stefan

supertramp · 01.09.2004, 22:46

wenn du ein PHP-unterstütztes Login-Formular hast, dann kannst du das mitzählen lassen..

ob es via htaccess auch geht? kA, ich denke aber nein.

01.09.2004, 23:19

Ja, ein PHP-Login-Form wäre schon möglich (sieht auch besser aus

) aber
1. muß ich dann in jeder einzelnen bestehenden PHP-Seite die Authenticate-Header hinzufügen (viel Arbeit). Evtl. könnte man das auch mittels "php_value auto_prepend_file ..." in der .htaccess machen.
2. Muß ich daraufhin die Authentifizierung aus der .htaccess wieder entfernen (sonst kommt mir diese ja immer zuvor). Das hat allerdings dummerweise den Effekt, daß alle nicht-PHP-Dateien plötzlich gar nicht mehr geschützt sind.

Vielleicht gibt es in der .htaccess eine Möglichkeit zu sagen "schütze alles außer "*.php"?

Oder noch ganz anders?

Nachtrag:
Habe jetzt noch ein bißchen geforscht: Wenn ich ein PHP-Login-Formular verwende, kann ich trotzdem nicht auf die Apache-interne Authentifizierung verzichten und ich darf auch in der .htaccess die PHPs nicht ausschließen, sonst sind alle anderen Dateien (pdf, doc, xls usw.) ungeschützt.

Außerdem benötige ich eine Methode, um die Zugangsdaten aus dem PHP-Login-Script in den Browser-Realm-Bereich einzulesen, damit er beim Aufruf einer Nicht-PHP-Datei nicht mit dem Passwort-Dialog kommt.

Aber wie?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
.htaccess login schlägt fehl	sternschnuppe99	Server, Hosting und Workstations	6	07.02.2008 13:37
login schlägt immer fehl	sternschnuppe99	Server, Hosting und Workstations	3	07.02.2008 13:28
Event abfangen	Ambience	JavaScript, Ajax und mehr	4	30.08.2007 14:36
HTTP 500 abfangen	Zergling-new	PHP-Fortgeschrittene	10	20.03.2007 17:32
file_get_contents fehlermeldung abfangen?	sputnik83	PHP Tipps 2006	6	05.07.2006 15:35
.htaccess und verschiedene Logins	dh1sbg	PHP Tipps 2005-2	4	27.10.2005 22:53
code 404 not found abfangen	janni	PHP Tipps 2005-2	4	26.10.2005 19:57
Logins von HTACCESS auslesen!?!?		PHP Tipps 2005-2	2	08.10.2005 13:12
[Erledigt] HTTP POST Senden und Antwort Abfangen		PHP Tipps 2005-2	7	10.09.2005 16:05
Fehler abfangen bei Eintrag in DB	Crypi	PHP Tipps 2005-2	15	18.08.2005 15:14
Webcam Bilder abfangen! Aber wie?	Broadcast	PHP Tipps 2005-2	4	19.07.2005 13:24
Fehlermeldungen abfangen und als email versenden?	Calli	PHP Tipps 2005	2	28.02.2005 10:23
Existiert Benuztername schon in MySQL-Datenbank? --> Fehl	duerov	PHP Tipps 2004-2	3	12.11.2004 20:41
leere Ergebnismenge abfangen		PHP Tipps 2004	1	29.09.2004 09:44
Tastaturprellen abfangen		PHP Tipps 2004	11	09.08.2004 18:04

01.09.2004, 21:44
Gast Beiträge: n/a	Fehl-Logins abfangen Hallo! Weiß jemand, ob man per PHP den angegebenen Benutzernamen abfangen kann, wenn der User sein Kennwort falsch eingegeben hat? Ich habe die übliche Konfiguration mit .htaccess AuthName "Intranet" AuthType Basic AuthUserFile /pfad/.htpasswd ErrorDocument 401 /pfad/error401.php <Limit GET> ... Ziel ist, Fehllogins zu zählen und bei Überschreitung einer best. Anzahl, den Login zu sperren. Normalerweise bekomme ich den Usernamen von der Variable $PHP_AUTH_USER, aber natürlich nur, wenn die Authentifizierung erfolgreich war. Hat jemand eine Idee? Vielen Dank! Stefan


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

01.09.2004, 22:46
supertramp Erfahrener Benutzer Registriert seit: 01.12.2003 Beiträge: 4.113	wenn du ein PHP-unterstütztes Login-Formular hast, dann kannst du das mitzählen lassen.. ob es via htaccess auch geht? kA, ich denke aber nein. __________________ Aufstrebend, kompetent und werbefrei. www.developers-guide.net

01.09.2004, 23:19
Gast Beiträge: n/a	Ja, ein PHP-Login-Form wäre schon möglich (sieht auch besser aus ) aber 1. muß ich dann in jeder einzelnen bestehenden PHP-Seite die Authenticate-Header hinzufügen (viel Arbeit). Evtl. könnte man das auch mittels "php_value auto_prepend_file ..." in der .htaccess machen. 2. Muß ich daraufhin die Authentifizierung aus der .htaccess wieder entfernen (sonst kommt mir diese ja immer zuvor). Das hat allerdings dummerweise den Effekt, daß alle nicht-PHP-Dateien plötzlich gar nicht mehr geschützt sind. Vielleicht gibt es in der .htaccess eine Möglichkeit zu sagen "schütze alles außer "*.php"? Oder noch ganz anders? Nachtrag: Habe jetzt noch ein bißchen geforscht: Wenn ich ein PHP-Login-Formular verwende, kann ich trotzdem nicht auf die Apache-interne Authentifizierung verzichten und ich darf auch in der .htaccess die PHPs nicht ausschließen, sonst sind alle anderen Dateien (pdf, doc, xls usw.) ungeschützt. Außerdem benötige ich eine Methode, um die Zugangsdaten aus dem PHP-Login-Script in den Browser-Realm-Bereich einzulesen, damit er beim Aufruf einer Nicht-PHP-Datei nicht mit dem Passwort-Dialog kommt. Aber wie?