Ankündigung

Einklappen
Keine Ankündigung bisher.

Mit php automatische htaccess authentifikation...

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    Mit php automatische htaccess authentifikation...

    Hallo Leute...

    ich hab folgendes Problem:

    Ich habe einen Mitgliederbereich mit PHP/MYSQL gemacht, damit halt nur angemeldete User auf bestimmte Daten zugreifen können. Nun möchte ich aber auch Downloads anbieten und das Problem ist, dass man php keine Ordner schützen kann, sondern php-Dokumente...

    Nun kam ich auf die Idee einen Ordner mit einer .htaccess und .htpasswd zu sichern und wenn sich ein User einloggt sich das System im Hintergrund mittels php bei der .htaccess authentifiziert ( Benutzername und Passwort steht dann in der php-Datei )... ( hab es mit $REMOTE_USER probiert und $PHP_AUTH_USER und $PHP_AUTH_PW ... aber die werden ja erst nach dem Login übergeben :/ )

    Es geht nicht, dass ich es nur mit .htaccess mache, denn wenn sich ein User einloggt, wird er ebenfalls ins wbbLITE eingeloggt ( mit jeweiligen Cookies und Einträge in die Session-Tabelle )...

    Meine andere Idee wäre gewesen, die Daten als Binärstring in eine php-Datei zu packen, dann würde es schließlich gehen, aber ich bin irgendwie etwas zu faul, alle Dateien in Binärstrings umzuwandeln


    Vielleicht hat einer von euch 'ne bessere Idee oder eine Lösung ??

    Ich hoffe, ich war verständlich

    Bitte helft mir :P
    Stichworte: -
  • #2
    Downloads nicht direkt über den Webserver laufen alssen, sondern ein php Skript davor stellen. Dh keinen direkten Zugriff per http://irgendwas/download/datei1.zip zulassen, sondern http://irgendwas/download.php?file=datei1.zip erzwingen.
    In download.php kann die Zugriffskontrolle stattfinden.
    Daten ausliefern per readfile: http://de3.php.net/manual/de/function.readfile.php

    "PHP - Profis"? Sicher nicht. Vergleiche mit http://www.phpfriend.de/forum/ftopic21431.html

    Kommentar

    • #3
      Wie bietet man Daten aus einem geschützen Verzeichnis zum Donload an?
      http://www.phpfriend.de/forum/ftopic48140-0-asc-0.html

      Und les den Thread bitte komplett.
      Diese Erweiterung ist EXPERIMENTELL.
      [...]
      Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

      Kommentar

      • #4
        Zitat von Bruchpilot
        Downloads nicht direkt über den Webserver laufen alssen, sondern ein php Skript davor stellen. Dh keinen direkten Zugriff per http://irgendwas/download/datei1.zip zulassen, sondern http://irgendwas/download.php?file=datei1.zip erzwingen.
        In download.php kann die Zugriffskontrolle stattfinden.
        Daten ausliefern per readfile: http://de3.php.net/manual/de/function.readfile.php

        "PHP - Profis"? Sicher nicht. Vergleiche mit http://www.phpfriend.de/forum/ftopic21431.html
        das ist Kinderkram, denn schließlich kann man, wenn man den direkten Pfad kennt, trotzdem drauf zugreifen....

        @andy: ich hab es mir durch gelesen und der Threadstarter hat am Ende geschildert:
        Jetzt kann ich zwar nicht mehr von außen drauf zugreifen. Aber auch nicht mit meinem Skript!
        ... also doch keine gute Lösung ?!?

        Werde diese mal als Ansatz nehmen, kann ja mit "deny from all" schützen und mit php ddie Datei auslesen und mit einen ordentlichen header() zum Download bringen....

        aber es ist immer noch nicht, dass was ich gesucht habe...
        Also die Frage bleibt immer noch offen:
        Ist eine automatische htaccess-Authentifikation mittels php möglich?

        Kommentar

        • #5
          Also, ich meine mich zu errinern, das der OP es da hinbekommen hat.
          http://www.phpfriend.de/forum/ftopic...20.html#332902

          Du kannst mal vesuchen deinen User per Url einzuloggen
          http://nameasswort@deine-seite.de [oder so ähnlich, lang nicht mehr benutzt.]
          Diese Erweiterung ist EXPERIMENTELL.
          [...]
          Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

          Kommentar

          • #6
            das ist Kinderkram, denn schließlich kann man, wenn man den direkten Pfad kennt, trotzdem drauf zugreifen....



            nicht wenn der ordner mit htaccess geschützt ist

            und bruchpilots ansatz müsstest du als profi ja verstehen

            aja rewriterules sind auch ne geile sache (htaccess)

            Kommentar

            • #7
              Zitat von matze4all
              das ist Kinderkram, denn schließlich kann man, wenn man den direkten Pfad kennt, trotzdem drauf zugreifen....
              Nochmal drüber nachdenken.
              Bedenken, dass es Verzeichnisse gibt, die nicht per http... erreicht werden können und dass per htaccess ein Verzeichnis komplett gegen Zugriff von aussen abgeschlossen werden kann.

              Kommentar

              • #8
                Zitat von matze4all
                Ist eine automatische htaccess-Authentifikation mittels php möglich?
                Theoretisch ja. Der apache ist open source und Du kannst dafür gerne ein Modul schreiben. Ansonsten wird das glaube ich nichts.

                Indirekt ginge da vielleicht was über mod_auth_mysql, also dass Du über PHP die Zugriffstabelle von mod_auth_mysql aktuell hälst, dann können alle auf das Verzeichnis zugreifen, die drinstehen.

                Der Beitrag wurde verschoben, wegen...
                ... Postings im falschen Forum. Bitte beim nächsten Mal darauf achten..

                Bemerkung:
                Die gestellte Frage entspricht nicht dem Wissensstand eines Profis. Dazu: http://www.phpfriend.de/forum/viewtopic.php?t=21431

                moved to PHP - Fortgeschrittene
                mod = master of disaster

                Kommentar

                • #9
                  Davon träume ich auch schon lange.
                  Daß Apache die Auth-Daten mit PHP austauscht.
                  Ich habe mal gelesen, daß das deshalb so schwierig sei, da PHP nicht mit den Browser in Kontakt steht. Zumindest nicht tief genug.
                  Der Browser schickt sein Paßwort an den Apache. Dieser vergleicht md5-Paßwörter, kennt aber das richtige Paßwort eigentlich garnicht.

                  Andersrum besteht das Problem, daß PHP dem Webserver beibringen müßte, daß eine Datei nicht freigegeben ist, wenn die Authentifizierung nicht erfolgreich verläuft oder umgekehrt. Jetzt stelle man sich einen großen Webserver eines Providers vor, in dem das Root-Dir mit .htaccess geschützt ist. Und jeder PHP-Programmierer könnte die .htaccess übersteuern, weil ja seine eigene User-Datenbank den Zugriff erlaubt.
                  Das Hauptproblem dürfte also mal tief im Webserver und dessen Verschlüsselungssystem liegen. Sieht man von verschlüsselten Paßwörtern ab, gibt es immernoch das Problem, das der Webserver mit PHP keine Auth-Daten austauscht - zumindest ohne entsprechendes Zusatzmodul, welches IMHO nicht existiert. Deswegen hat WAQ vollkommen recht.

                  Kommentar

                  Vorherige Weiter
                  Lädt...
                  X