Was ist das?

woran das liegt kann ich dir auch nicht sagen, aber ....

was ich dir sagen kann ....
man sollte keine passwörter in der urlzeile schreiben ...

mache doch statt dem header() einfach ein include der gewünschten daten.....

Normalerweise nimmt der Browser als erstes Kontakt mit der restricted Area auf. Also wenn Du eine htaccess geschützte Seite aufrufst ist im BrowserHeader zunächst noch nicht die Userid und das Passwort hinterlegt. Der Server reagiert darauf mit dem Returncode: "HTTP/1.0 401 Unauthorized", worauf der Browser die Eingabeaufforderung zur Autentifizierung (Eingabe UserID und Password) promptet.

Werden die Anmeldeinformationen eingegeben, setzt der Browser diese Infos in seinen Header und wendet sich mit der Anforderung an den Server. Der Server liest den Header, erkennt UID/PWD, vergleicht diese mit den in der htpasswd hinterlegten Kombination und wenn alles passt liefert der Host die angeforderten Daten.

OK das ist der Standardfall.

Nun der Sonderfall "header("Location: ...");
Der Auslöser ist nun nicht client- (Browser) sondern serverside. UID/PWD sind im Browser Header noch nicht gesetzt. Serverside springt die Anforderung auf die restricted Area - da der Browser Header noch nicht gesetzt ist, reagiert der Server mit dem "HTTP/1.0 401 Unauthorized" Returncode. Der Browser startet das Login-Fenster. Jedoch hat der Browser durch die "uidwd@www.irgendwo.de" Angabe gleichzeitig die Anweisung erhalten diese Werte in den Header zu malen. Die Anweisung hat der Server an den Client gerichtet. Die Anweisung über die URL und der 401er gehen also vom Server parallel aus. Der Browser schreibt die Anmeldeinfos in den Header und wegen des 401er promptet er wie gesagt das Login-Fenster.

Du drückst auf Abbrechen des Login-Fensters. Im Header ist aber bereits die UID:PWD Info hinterlegt.

Beim F5 richtest Du diese Info an den Server und jetzt läuft das ganze wieder wie gehabt. Der Server liest den Header, übrprüft den Inhalt mit htpasswd, usf.

Hättest Du anstatt Abbrechen zu drücken eine andere Benutzerkennung mit dem entsprechende PWD eingegeben, hätte diese Eingabe die zuvor belegte User-Password Kombination im Browser Header überschrieben.

Ich hoffe das war so halbwegs verständlich.

Hi,
das mit dem include ist eine echt gute idee, nur leider nicht für mich
Die Seite, die ich öffnen möchte, ist nämlich nicht von mir. Aber ich öffne die Datei in einem Frameset, deshalb steht die Seite nicht in der History oder kann über den Quelltext herausgefunden werden...
Deshalb nochmal die Frage: Warum logt sich das Script erst beim 2. mal ein???

DANKE!

@strauberry
siehe antwort von hand....
konntest du wahrscheinlich nur nicht lesen...... weil du noch am tippen warst...

@hand
sehr verständlich. auf die variante wäre ich nicht gekommen....

sei dir da nicht so sicher...
in der adressleiste des browsers taucht sie aber trotzdem bei den zuletzt besuchten seiten auf.

siehe erklärung von hand, das war eigentlich ausführlich genug.

Ok danke danke danke
Jetzt muss ich abwägen zwischen hässlichem Fenster oder PW in der History

Und irgendwie was anderes gibt es nicht *toll* Alles gibts nur dafür, was echt dauernd gebraucht wird, gibt es sowas nicht !?!

Hab schon mit
- url
- include
- apache_lookup_uri
- fopen
- sessions (wobie die nicht wirklich dafür gemacht sind)
probiert, aber alles schmarn

Der S****S ist halt, dass die Daten, die ich lade nicht von mir sind sondern eine externe seite... wenn jemandem noch was einfällt
BITTE HER DAMIT *VERWEIFEL*
Da denkt man "was war heute nochmal? Achso ja: an EINEM problem rumgemacht!

Und nun wie Du das Problem lösen kannst:

Anstatt:

Dabei wird die Reihenfolge eingehalten. Der Browser wird über den Meta-Tag angewiesen die URL mit UID:PWD aufzurufen, der Header ist gesetzt, der Server empfängt, vergleicht, liefert die angeforderten Daten.

h.a.n.d.

Das mit der History ist zwar wirklich nicht hübsch, was aber bei dieser Methode (htaccess) noch störender ist, ist der Umstand, dass bei jeder Interaktion mit dem Server im Header die UID:PWD Kombination mit über die Leitung geschichkt wird und mitgesnifft werden kann. Das schmerzt viel mehr als ein Historyeintrag lokal am "Personal" Computer.

jau, passwort gleich in den quelltext... ideal :-)

aber strauberry will es ja nicht anders ...