php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.)
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.) Probleme, Apache mit PHP oder MySQL zum Laufen zu bringen? Anpassung an .htaccess, httpd.conf oder php.ini funktionieren nicht? In diesem Forum könnt ihr eure Erfahrungen austauschen.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 26-05-2008, 12:05
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard Interne Downloads (mit Login) per .htaccess Referer schützen?

Hallo Zusammen,
ich habe einen Login (Benutzer/Passwort) der das Zugreifen auf eine interne Linkliste mit PDFs ermöglicht.
Da die PDF-Dateien aber auch ohne Login (falls man den Ordner- und Dateinamen weiß) ohne Login aufrufen könnte, will ich den Ordner mittels .htaccess REFERER schützen.

Ein normaler .htaccess Passwortschutz wäre auch möglich, ich bin mir aber nicht sicher, wie ich den realisieren soll, ohne Benutzer und Passwort im Header (URL) zu übergeben... (Benutzer und Passwort stehen in einer mySQL-DB)

Also meine Frage: Ist die .htaccess-Referer-Lösung sinnvoll?
Sendet jeder Browser eine Referer?

Hat jemand ggf. eine bessere Idee wie man mein Problem lösen könnte?

Danke für Hinweise und Tipps,
dreman
Mit Zitat antworten
  #2 (permalink)  
Alt 26-05-2008, 12:08
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Auf Referer kannst du dich nicht verlassen, wird nicht immer mitgeschickt.

Vernagel das Verzeichnis mit .htaccess und mach den Download über download.php?file=x.
Mit Zitat antworten
  #3 (permalink)  
Alt 26-05-2008, 12:10
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Also meine Frage: Ist die .htaccess-Referer-Lösung sinnvoll?
Sendet jeder Browser eine Referer?

Hat jemand ggf. eine bessere Idee wie man mein Problem lösen könnte?
Nein, sinnvoll ist das nicht, weil entweder kein Referer oder ein gefakter geschickt werden könnte.

Die meisten Browser senden einen. Lässt sich aber in der Konfig ändern

Eine zentrale PHP Datei, die anhand eines GET Parameters das PDF einliest und an den Client ausgibt. Damit brauchst du auf das Verzeichnis mit den PDFs nur Filesystemzugriff und kannst eine htaccess anlegen, die den Zugriff via URL komplett verbietet.
Die zentrale PHP Datei kann auch sicherstellen, dass nur authorisierte User die PDFs lesen können
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #4 (permalink)  
Alt 26-05-2008, 12:32
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Okay, vielen Dank für die Hinweise:

Also etwa so:
.htaccess (in 'geheim'):
PHP-Code:
RewriteEngine On
RewriteCond 
%{REQUEST_FILENAME} -f
RewriteRule 
^geheim/(.+)$ download.php?file=$
download.php (in 'geheim'):
PHP-Code:
<?php
header
('Content-Type: application/octet-stream');
include (
"../php/login.php");
$file basename($_GET['file']);

if(
file_exists('geheim/' $file) && ($login == "yes")){
readfile('geheim/' $file);
}
else{
echo 
"Kein Berechtigung!";
}
?>
Welchen Content-Type gebe ich am besten an, wenn ich auch andere Dateien außer PDF anbieten möchte?
Oder muss ich die angeforderte Datenendung auslesen und den entsprechenden Content-Type senden?
Mit Zitat antworten
  #5 (permalink)  
Alt 26-05-2008, 12:46
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Code:
//.htaccess
Order Deny,Allow
Deny from All
Zitat:
Oder muss ich die angeforderte Datenendung auslesen und den entsprechenden Content-Type senden?
Genau so sollte man das machen
Zitat:
PHP-Code:
if(file_exists('geheim/' $file) && ($login == "yes")){ 
Eine sicherheitskritische Variable wie $login würde ich als Boolean anlegen. Sonst könnte man je nach Server Config (Register_globals ON) und deinem Programmierstiyle das ganze Konzept mittels einer einfachen GET Var umgehen. Wenn du sie als Boolean anlegst, dann solltest du zum Vergleich auch den ===-Operator benutzen. Oder aber, wenn du keinen Boolean verwenden willst MUSST du die Var $login etnsprechend mit einem Wert initialisieren (z.B. $ogin = 'no')
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #6 (permalink)  
Alt 26-05-2008, 12:54
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke!

@login: Ja, da hast du natürlich recht. Sry!
War nur schnell hingeschrieben... =)

@htaccess:
Ist
Zitat:
Order Deny,Allow
Deny from All
denn nötig?
Es werden doch schon alle Anfragen die auf eine Datei in "geheim" zeigen auf "download.php" umgeleitet?

Muss es dann so heißen?:
Code:
//.htaccess
Order Deny,Allow
Deny from All
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule ^geheim/(.+)$ download.php?file=$1
Mit Zitat antworten
  #7 (permalink)  
Alt 26-05-2008, 13:00
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Entweder Rewriting oder Deny all.

Btw: Führt dein Rewriting nicht zu einer endlosen Umleitung?
Mit Zitat antworten
  #8 (permalink)  
Alt 26-05-2008, 13:03
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Die Sache mit der RewriteRule ist sicher Geschmackssache. Kannst du auch benutzen. Ich für meinen Teil finde es sauberer wenn der User oder Bot, der das PDF direkt aufrufen will, eine entsprechende Fehlerseite bekommt. Damit er auch weiss, dass es sich um einen nicht-erlaubten Zugriff handelt.
EDIT:

Solange du nicht extern umleitest wird wohl wie onemorenerd sagt eine unendliche Weiterleiterei stattfinden

__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 27-05-2008, 17:28
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke für die Hinweise:

Habe es jetzt so gelöst:

im Ordner "geheim" liegt meine .htaccess-Datei

Code:
RewriteEngine On
RewriteRule ^(.*\.(pdf))$ download.php?file=$1
RewriteRule ^(.*\.(zip))$ download.php?file=$1
RewriteRule ^(.*\.(ppt))$ download.php?file=$1
Diese leitet alle PDF, ZIPs und PPTs auf download.php um.
(dort findet dann die Berechtigungsprüfung mit header-Auswahl statt)

Allerdings halte ich die Lösung noch nicht besonders toll (.htaccess-Teil).

Ich würde es gerne andersherum haben:
wie:
Leite alle Nicht-PHP-Dateien an download.de weiter...

Mein Versuch:
Code:
RewriteEngine On
RewriteRule !^(.*\.(php))$ download.php?file=$1
Hat leider nicht funktioniert?

Hat jemand eine Idee?

Danke, soweit für alle Hilfe.
dreman
Mit Zitat antworten
  #10 (permalink)  
Alt 27-05-2008, 18:55
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Versuch mal das:

RewriteRule \.php$ - [L]
RewriteRule (.*) download.php?file=$1
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 19:53 Uhr.