Ankündigung

Einklappen
Keine Ankündigung bisher.

.htaccess IP Sperre mit PHP

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • .htaccess IP Sperre mit PHP

    Guten Abend

    Ich schreibe gerade an einem CMS, dieses hat jetzt einen PHP Session Login System und soll zusätzlich noch mit einer .htaccess Datei vor direkt zugriffen geschützt werden.

    Problem ist meine .htaccess, nach dem login wird mir der Zugriff auf die im Ordner befindliche system.php verweigert.
    Wenn ich Deny from all nutze.

    Also habe ich Folgendes ausprobiert:
    Order deny,allow
    Deny from all
    <Files ~ "^(system.php|logout.php)$">
    Allow from all
    </Files>

    Dies bewirkt zwar das Ich die system.php angezeigt bekomme aber den rest der von ihr aufgerufenen dateien nicht!
    CSS, Bilder etc...

    Beim Googlen habe ich folgende Lösung gefunden:
    <FilesMatch "\.(png|jpg|css|ept|ptf|svg|ttf|woff|htm|html) $">
    Allow from all
    Satisfy any
    </FilesMatch>

    Damit wäre ich aber genauso Nass wie vorher denn dann wäre ja auch wieder der Zugriff auf die Bilder möglich.

    Deswegen habe ich mir folgendes überlegt und wollte von euch Wissen was ihr davon haltet.

    Mit der .htaccess nur eine IP-Adresse zulassen und diese nach erfolgreichem Login, ins CMS, via PHP in die .htaccess schreiben.
    Also: Login ins CMS->auslesen der IP via PHP->PHP schreibt die IP in die .htaccess-> Zugriff für diese IP erlauben.

    Das einzige Problem was mir dazu einfällt wäre die nutzung eines Proxys. Denn dann könnten Nutzer des selben Proxys auf alle Daten zugreifen. Deswegen würde ich eine weitere .htaccess zu den wirklich brisanten sachen legen(XML Datenbank Ordner). Dann hätte der Proxyhacker zwar zugriff auf die Bilder und die CSS Dateien, da ich diesen fall aber für sehr unwarscheinlich halte und es keine brisanten Daten wären auf die er Zugriff hätte, halte ich das für nicht weiter dragisch.

    mfg

  • #2
    Zitat von mebuca Beitrag anzeigen
    Dies bewirkt zwar das Ich die system.php angezeigt bekomme aber den rest der von ihr aufgerufenen dateien nicht!
    CSS, Bilder etc...

    Damit wäre ich aber genauso Nass wie vorher denn dann wäre ja auch wieder der Zugriff auf die Bilder möglich.
    ich verstehe nicht ob die bilder jetzt mgesehen werden sollen oder nicht.

    wie dem auch sei, löss doch alles über dein login.
    ein permanntes umschreiben der .htaccess halte ich aber nicht für so toll.

    Kommentar


    • #3
      Zitat von moma Beitrag anzeigen
      ich verstehe nicht ob die bilder jetzt mgesehen werden sollen oder nicht.

      wie dem auch sei, löss doch alles über dein login.
      ein permanntes umschreiben der .htaccess halte ich aber nicht für so toll.
      Erstmal Danke für die schnelle antwort.

      Problem ist das ich nicht wüsste wie ich den direkt Zugriff auf ein Bild mit PHP verbiete.
      Ich kann die Session abfrage ja nicht ins Bild schreiben.
      Und viel wichtiger ich möchte keinen PHP code in meiner XML Datenbank Datei.

      Daher wüsste ich keinen weg der an einer .htaccess vorbei führt.

      Kommentar


      • #4
        Du kannst das bild wrappen, eine "seite" die nur checked ob ein bild von der platte gelesen und mit entsprechenden header ausgeliefert wird. bspw.

        Kommentar


        • #5
          haben dir die antworten hier nicht gefallen?

          Anmerkung zu Multipostings
          liebe Grüße
          Fräulein Dingsda

          Kommentar


          • #6
            Zitat von moma Beitrag anzeigen
            Du kannst das bild wrappen, eine "seite" die nur checked ob ein bild von der platte gelesen und mit entsprechenden header ausgeliefert wird. bspw.
            Danke, dies behalte ich mir als letzte Option noch offen.
            Problem ist ich habe das cms ohne Schutz geschrieben und im cms ist unteranderem ein iptc Tag reader/writer sowie ein Bild Editor.
            Wenn ich da jetzt anfange die Bilder zuwrappen, dann öffne ich sozusagen die Büchse der Pandora. Das hätte dann eine Menge an Folge Probleme zur Konsequenz. Die ich mir gerne ersparen würde.
            Daher bin ich auf der Suche nach einer Alternativen Lösung.

            Was hältst du von der IP Sperre

            Kommentar


            • #7
              Zitat von dingsda Beitrag anzeigen
              haben dir die antworten hier nicht gefallen?

              Anmerkung zu Multipostings
              der engagierte benutzer _jspit scheint die selbe idee wie ich zu verfogen.

              @TE: ich seh da keine büchse. aber selbst wenn. nimmst du alles raus, kriegste als leztes ja die hoffnung.

              Kommentar


              • #8
                Entschuldigung mir war nicht bewusst das es ein Verstoß ist mehrere Leute zufragen. Ich habe nach wie vor keine konkrete Antwort auf meine Frage erhalten. Ich hab hier auch explizit nach der IP sperre gefragt und nicht nach einer Alternative.
                Das nächste mal weiß ich es besser.

                Wird aber vermutlich jetzt auch egal sein...

                Kommentar


                • #9
                  ok,
                  Problem ist ich habe das cms ohne Schutz geschrieben und im cms ist unteranderem ein iptc Tag reader/writer sowie ein Bild Editor.
                  Ich schreibe gerade an einem CMS, dieses hat jetzt einen PHP Session Login System und soll zusätzlich noch mit einer .htaccess Datei vor direkt zugriffen geschützt werden.
                  lass die session, nimm nur die .htacess zum authentifiezieren und auch gut.

                  Kommentar


                  • #10
                    Ja danke

                    Kommentar

                    Lädt...
                    X