Guten Abend
Ich schreibe gerade an einem CMS, dieses hat jetzt einen PHP Session Login System und soll zusätzlich noch mit einer .htaccess Datei vor direkt zugriffen geschützt werden.
Problem ist meine .htaccess, nach dem login wird mir der Zugriff auf die im Ordner befindliche system.php verweigert.
Wenn ich Deny from all nutze.
Also habe ich Folgendes ausprobiert:
Order deny,allow
Deny from all
<Files ~ "^(system.php|logout.php)$">
Allow from all
</Files>
Dies bewirkt zwar das Ich die system.php angezeigt bekomme aber den rest der von ihr aufgerufenen dateien nicht!
CSS, Bilder etc...
Beim Googlen habe ich folgende Lösung gefunden:
<FilesMatch "\.(png|jpg|css|ept|ptf|svg|ttf|woff|htm|html) $">
Allow from all
Satisfy any
</FilesMatch>
Damit wäre ich aber genauso Nass wie vorher denn dann wäre ja auch wieder der Zugriff auf die Bilder möglich.
Deswegen habe ich mir folgendes überlegt und wollte von euch Wissen was ihr davon haltet.
Mit der .htaccess nur eine IP-Adresse zulassen und diese nach erfolgreichem Login, ins CMS, via PHP in die .htaccess schreiben.
Also: Login ins CMS->auslesen der IP via PHP->PHP schreibt die IP in die .htaccess-> Zugriff für diese IP erlauben.
Das einzige Problem was mir dazu einfällt wäre die nutzung eines Proxys. Denn dann könnten Nutzer des selben Proxys auf alle Daten zugreifen. Deswegen würde ich eine weitere .htaccess zu den wirklich brisanten sachen legen(XML Datenbank Ordner). Dann hätte der Proxyhacker zwar zugriff auf die Bilder und die CSS Dateien, da ich diesen fall aber für sehr unwarscheinlich halte und es keine brisanten Daten wären auf die er Zugriff hätte, halte ich das für nicht weiter dragisch.
mfg
Ich schreibe gerade an einem CMS, dieses hat jetzt einen PHP Session Login System und soll zusätzlich noch mit einer .htaccess Datei vor direkt zugriffen geschützt werden.
Problem ist meine .htaccess, nach dem login wird mir der Zugriff auf die im Ordner befindliche system.php verweigert.
Wenn ich Deny from all nutze.
Also habe ich Folgendes ausprobiert:
Order deny,allow
Deny from all
<Files ~ "^(system.php|logout.php)$">
Allow from all
</Files>
Dies bewirkt zwar das Ich die system.php angezeigt bekomme aber den rest der von ihr aufgerufenen dateien nicht!
CSS, Bilder etc...
Beim Googlen habe ich folgende Lösung gefunden:
<FilesMatch "\.(png|jpg|css|ept|ptf|svg|ttf|woff|htm|html) $">
Allow from all
Satisfy any
</FilesMatch>
Damit wäre ich aber genauso Nass wie vorher denn dann wäre ja auch wieder der Zugriff auf die Bilder möglich.
Deswegen habe ich mir folgendes überlegt und wollte von euch Wissen was ihr davon haltet.
Mit der .htaccess nur eine IP-Adresse zulassen und diese nach erfolgreichem Login, ins CMS, via PHP in die .htaccess schreiben.
Also: Login ins CMS->auslesen der IP via PHP->PHP schreibt die IP in die .htaccess-> Zugriff für diese IP erlauben.
Das einzige Problem was mir dazu einfällt wäre die nutzung eines Proxys. Denn dann könnten Nutzer des selben Proxys auf alle Daten zugreifen. Deswegen würde ich eine weitere .htaccess zu den wirklich brisanten sachen legen(XML Datenbank Ordner). Dann hätte der Proxyhacker zwar zugriff auf die Bilder und die CSS Dateien, da ich diesen fall aber für sehr unwarscheinlich halte und es keine brisanten Daten wären auf die er Zugriff hätte, halte ich das für nicht weiter dragisch.
mfg
Kommentar