.htaccess vs. PHP&mySQL

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • .htaccess vs. PHP&mySQL

    Hi Jungs,

    Ich hab mal wieder eine "Wie macht ihr das ...."-Frage

    Wie schützt ihr einen Member-Bereich?

    Die Frage sollte anhand von Sicherheit und Administration erörtert werden.

    Punkte, die zu klären wären:
    > wie sicher ist PHP&mySQL (vorrausgesetzt man macht es RICHTIG) im Vergleich zu .htaccess?
    > die Online-Administration (per Webinterface) für .htaccess (kann ich dann gleich PHP&mySQL nehmen?)
    > .htaccess-Lösung wenn nicht nur "Pauschalrechte" vergeben werden sollen, sondern einzelne Aktionen verboten/erlaubt werden sollen.
    > .htaccess - mit Sessions oder ohne?

    --

    bisher verwende ich PHP&mySQL ohne Sessions
    da ich den ganzen Admin-Bereich komplett überarbeite will ich mir die Sicherheit auch nochmal anschauen.
    Nach jetztigem Stand würde ich mich für PHP&mySQL + Sessions entscheiden.
    26
    PHP & mySQL ohne Sessions
    0%
    1
    PHP & mySQL mit Sessions
    0%
    25
    .htaccess (Useradministration über FTP-Tool)
    0%
    0
    .htaccess (Useradministration über Browser)
    0%
    0

    Die Umfrage ist abgelaufen.

    [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

    [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

    [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
    (from here)

  • #2
    Re: .htaccess vs. PHP&mySQL

    Original geschrieben von Meillo
    Wie schützt ihr einen Member-Bereich?
    PHP+Session+MySQL
    > .htaccess-Lösung wenn nicht nur "Pauschalrechte" vergeben werden sollen, sondern einzelne Aktionen verboten/erlaubt werden sollen.
    > .htaccess - mit Sessions oder ohne?
    Einzelne Rechte werden dann kompliziert, weil du nur das Skript damit schützt, bzw. den gesamten Ordner...du müsstest dann für jede Aktion einen Ordner+htaccess-Datei machen...meines Wissens nach
    httacces funzt ohne Sessions!
    Nach jetztigem Stand würde ich mich für PHP&mySQL + Sessions entscheiden.
    Beste Wahl denke ich, weil du einfach ne Menge Freiheiten hast...

    Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

    bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
    Wie man Fragen richtig stellt

    Kommentar


    • #3
      Re: Re: .htaccess vs. PHP&mySQL

      Original geschrieben von ghostgambler
      Beste Wahl denke ich, weil du einfach ne Menge Freiheiten hast...
      *bestätige

      Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
      sondern mit den Augen das Manual zu lesen.

      Kommentar


      • #4
        Re: .htaccess vs. PHP&mySQL

        Original geschrieben von Meillo
        > wie sicher ist PHP&mySQL (vorrausgesetzt man macht es RICHTIG) im Vergleich zu .htaccess?
        Hat da jemand seriöse Infos?
        [COLOR=royalblue]Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.[/COLOR]

        [COLOR=silver]btw: REAL PROGRAMMERs aren't afraid to use GOTOs![/COLOR]

        [color=indigo]Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...[/color]
        (from here)

        Kommentar


        • #5
          das thema hat mich auch mal interessiert

          alter Thraed

          habe mein mitgliedbereicht mit php, session und mysql zusammengebastelt, bei jedem seitenaufruf frage ich die db nach benutzerlevel und "gültigkeit" des login ab (nicht viele benutzer)

          bezüglich der sicherheit: jedes passwort ist knackbar (frage der zeit und des aufwandes). mein script überspringt nach 5 falscheingaben die benutzerprüfung und zeigt keine loginmöglichkeit mehr an ob das auch bei .htaccess geht -> k.a., ansonsten kann ich eigentlich ruhig schlafgen

          Kommentar


          • #6
            Man braucht keinen eigenen Ordner für jeden User, weil man den Usernamen ja durch auslesen von http://php3.de/manual/de/features.http-auth.php bestimmen kann. Diese Daten sollte auch nicht manipulierbar sein.

            Warum muss eigentlich immer mySQL bemüht werden? Es reicht doch auch, wenn man alle Variabeln in der Session speichert. Oder hab ich irgendwie den Sinn einer Sessiontabelle nicht verstanden? Für mich ergibt sie nämlich nur dann Sinn, wenn man die aktuelle Anzahl angemeldeter User ermitteln will. Alles andere lässt sich auch NUR mit Sessions lösen.

            Kommentar


            • #7
              Original geschrieben von S.Oliver
              Warum muss eigentlich immer mySQL bemüht werden? Es reicht doch auch, wenn man alle Variabeln in der Session speichert. Oder hab ich irgendwie den Sinn einer Sessiontabelle nicht verstanden? Für mich ergibt sie nämlich nur dann Sinn, wenn man die aktuelle Anzahl angemeldeter User ermitteln will. Alles andere lässt sich auch NUR mit Sessions lösen.
              Die UserTabelle ist hier glaube ich mehr darauf bezogen, dass darin Username und Passwort gespeichert wird. Der Rest ist nur Spielerei...aber hast du schonmal darüber nachgedacht, wie du deine User mit diesen dummen Popups nervst?
              Solche Seiten guck ich mir gar nicht erst an (animexx ist eine Ausnahme, weil das bald entfernt wird, ich nutz schon die Testversion des einlogg-System, wo das Popup endlich wech ist)

              btw. hat das System scheinbar viele Sicherheitslücken und das Ausloggen funzt irgendwie auch nicht richtig. Kann ich zwar nichts genaues zu sagen, weil ich mich mit dem Ding nicht wirklich beschäftigt habe (ich fand die Methode beim ersten angucken schon unsympathisch), aber auf Animexx ist es ein Grund, warum jetzt von diesem System weggegangen wird....nicht empfehlenswert also IMO
              Außerdem hat so eine Verbindung mit einer MySQL-Tabelle schon mehrere Vorteile, auf die ich bei meinen Projekten gar nicht verzichten kann.

              Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

              bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
              Wie man Fragen richtig stellt

              Kommentar


              • #8
                Original geschrieben von ghostgambler
                btw. hat das System scheinbar viele Sicherheitslücken
                HTTP AUTH hat sicherheitslücken? nenn' mir bitte welche.

                und das Ausloggen funzt irgendwie auch nicht richtig.
                ein "ausloggen" ist bei HTTP AUTH ja auch gar nicht vorgesehen.

                irgendwie habe ich bei dir den eindruck, dass du hier eine technik beurteilst, die du gar nicht verstanden hast.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Original geschrieben von wahsaga
                  irgendwie habe ich bei dir den eindruck, dass du hier eine technik beurteilst, die du gar nicht verstanden hast.
                  Ich hab sie mir gar nicht angeschaut....ich hab nur das geschrieben, was ich woanders aufgeschnappt hab. Das mit dem Ausloggen, war jedoch mal vorgesehen, nur das "Feature" wurde irgendwann aus den Browsern entfernt. Und das mit den Sicherheitslücken, dazu kann ich dir nicht wirklich was sagen. Das hatte ein "Vorgänger" von meinem jetzigen Projekt rausgefunden (war ein Anfänger, aber das muss ja nichts heißen) und ich hab mich damit nicht weiter beschäftigt, weil ich diese Art des Logins eh wieder rausgeschmissen hätte.
                  Bei einer Seite, wie die die ich grade programmiere sollte man sich aus ausloggen können....ist halt so, und da das nicht gegeben ist, liegt die Möglichkeit für mich flach.
                  Außerdem hasse ich (wie wahrscheinlich auch eine Menge Anderer) dieses blöde Popup, was sich einfach in den Vordergrund drängelt *grrr*

                  Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                  bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                  Wie man Fragen richtig stellt

                  Kommentar


                  • #10
                    Original geschrieben von ghostgambler
                    Das mit dem Ausloggen, war jedoch mal vorgesehen, nur das "Feature" wurde irgendwann aus den Browsern entfernt.
                    nö, war es nicht.

                    HTTP AUTH sieht nun mal kein "ausloggen" vor, auch wenn das viele leute offenbar nicht verstehen wollen.

                    es ist ja auch nur gedacht, um eine authentifizierung vor dem zugriff auf eine ressource realisieren zu können, und nicht um damit komplette "login-systeme" mit wer weiß was für features zu implementieren.
                    I don't believe in rebirth. Actually, I never did in my whole lives.

                    Kommentar


                    • #11
                      Original geschrieben von wahsaga
                      HTTP AUTH hat sicherheitslücken? nenn' mir bitte welche.
                      Wenn man wollte, könnte man die fehlende Möglichkeit, sich abzumelden, als Lücke bezeichnen.


                      Aber... Wenn das wirklich überhaupt nicht geht, dann ist mein phpmyadmin, mein confixx und was es noch so alles an tollen Sachen gibt, kaputt... da kann ichmich nämlich wieder abmelden
                      ich bin aber eher geneigt zu glauben, dass es wohl doch geht, du nur nicht weißt, wie
                      Ich denke, also bin ich. - Einige sind trotzdem...

                      Kommentar


                      • #12
                        Original geschrieben von mrhappiness
                        ich bin aber eher geneigt zu glauben, dass es wohl doch geht, du nur nicht weißt, wie
                        nö, das von dir genannte ist ein krückenhafter workaround, der aber wenig taugt - und auch nichts daran ändert, dass bei HTTP AUTH vom konzept her nun mal kein logout vorgesehen ist. das kannst du drehen und wenden wie du willst ...

                        lies mal http://www.php.net/manual/de/features.http-auth.php
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar


                        • #13
                          ich hab das so gehandhabt:

                          wenige user (z.B. firmenbereiche, adminbereiche) mit .htaccess

                          multi-user mit Sessions, ggf. mit MySQL backend


                          An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )

                          Kommentar


                          • #14
                            Für mich gibt's da nur Sessions mit einer MySQL-Tabelle.
                            Beim Einloggen lege ich eine Timeoutzeit fest, an der die Session nicht mehr aktiv ist. Bei jedem Aufruf einer geschützten Seite wird die Timeoutzeit in der DB bei der entpsrechenden Session angepasst. Wenn die Zeit nicht mehr aktuell ist (der User hat zu lange keinen Link mehr geklickt), dann kick ich ihn bei der nächsten Anfrage nach einer geschützten Seite wieder raus.
                            Funzt gut bei wenigen Usern (keine Ahnung wie die Performance bei einer grossen Anzahl Usern ist, da ich doch die DB ein paar Mal bemühen muss)

                            Gruss

                            tobi
                            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                            Kommentar


                            • #15
                              Ich schmeiss das jetzt einfach mal in die Runde.

                              Im Prinzip würde doch auch nichts dagegen sprechen, den Ablaufzeitpunkt der Session ebenfalls in der Session zu speichern und die dann mit der aktuellen Uhrzeit zu vergleichen. Zusätzlich kann man ja dann auch den Ablauf der Cookies entsprechend anpassen und die Sessionzeit auf die gewünschte Zeit kürzen.

                              Vom Punkt Sicherheit her, dürfte das doch keinen Unterschied machen, weil die Session ja von außen nicht veränderbar ist und es spart 3 mySQL Abfragen (alte löschen, überprüfen, ersetzen). Gibt es mit der Methode Probleme, die mir vielleicht noch nicht so bekannt sind?

                              Kommentar

                              Lädt...
                              X