php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.)
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Fragen zu Installation & Konfiguration (LAMP, WAMP & Co.) Probleme, Apache mit PHP oder MySQL zum Laufen zu bringen? Anpassung an .htaccess, httpd.conf oder php.ini funktionieren nicht? In diesem Forum könnt ihr eure Erfahrungen austauschen.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 26-05-2008, 12:05
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard Interne Downloads (mit Login) per .htaccess Referer schützen?

Hallo Zusammen,
ich habe einen Login (Benutzer/Passwort) der das Zugreifen auf eine interne Linkliste mit PDFs ermöglicht.
Da die PDF-Dateien aber auch ohne Login (falls man den Ordner- und Dateinamen weiß) ohne Login aufrufen könnte, will ich den Ordner mittels .htaccess REFERER schützen.

Ein normaler .htaccess Passwortschutz wäre auch möglich, ich bin mir aber nicht sicher, wie ich den realisieren soll, ohne Benutzer und Passwort im Header (URL) zu übergeben... (Benutzer und Passwort stehen in einer mySQL-DB)

Also meine Frage: Ist die .htaccess-Referer-Lösung sinnvoll?
Sendet jeder Browser eine Referer?

Hat jemand ggf. eine bessere Idee wie man mein Problem lösen könnte?

Danke für Hinweise und Tipps,
dreman
Mit Zitat antworten
  #2 (permalink)  
Alt 26-05-2008, 12:08
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Auf Referer kannst du dich nicht verlassen, wird nicht immer mitgeschickt.

Vernagel das Verzeichnis mit .htaccess und mach den Download über download.php?file=x.
Mit Zitat antworten
  #3 (permalink)  
Alt 26-05-2008, 12:10
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Also meine Frage: Ist die .htaccess-Referer-Lösung sinnvoll?
Sendet jeder Browser eine Referer?

Hat jemand ggf. eine bessere Idee wie man mein Problem lösen könnte?
Nein, sinnvoll ist das nicht, weil entweder kein Referer oder ein gefakter geschickt werden könnte.

Die meisten Browser senden einen. Lässt sich aber in der Konfig ändern

Eine zentrale PHP Datei, die anhand eines GET Parameters das PDF einliest und an den Client ausgibt. Damit brauchst du auf das Verzeichnis mit den PDFs nur Filesystemzugriff und kannst eine htaccess anlegen, die den Zugriff via URL komplett verbietet.
Die zentrale PHP Datei kann auch sicherstellen, dass nur authorisierte User die PDFs lesen können
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #4 (permalink)  
Alt 26-05-2008, 12:32
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Okay, vielen Dank für die Hinweise:

Also etwa so:
.htaccess (in 'geheim'):
PHP-Code:
RewriteEngine On
RewriteCond 
%{REQUEST_FILENAME} -f
RewriteRule 
^geheim/(.+)$ download.php?file=$
download.php (in 'geheim'):
PHP-Code:
<?php
header
('Content-Type: application/octet-stream');
include (
"../php/login.php");
$file basename($_GET['file']);

if(
file_exists('geheim/' $file) && ($login == "yes")){
readfile('geheim/' $file);
}
else{
echo 
"Kein Berechtigung!";
}
?>
Welchen Content-Type gebe ich am besten an, wenn ich auch andere Dateien außer PDF anbieten möchte?
Oder muss ich die angeforderte Datenendung auslesen und den entsprechenden Content-Type senden?
Mit Zitat antworten
  #5 (permalink)  
Alt 26-05-2008, 12:46
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Code:
//.htaccess
Order Deny,Allow
Deny from All
Zitat:
Oder muss ich die angeforderte Datenendung auslesen und den entsprechenden Content-Type senden?
Genau so sollte man das machen
Zitat:
PHP-Code:
if(file_exists('geheim/' $file) && ($login == "yes")){ 
Eine sicherheitskritische Variable wie $login würde ich als Boolean anlegen. Sonst könnte man je nach Server Config (Register_globals ON) und deinem Programmierstiyle das ganze Konzept mittels einer einfachen GET Var umgehen. Wenn du sie als Boolean anlegst, dann solltest du zum Vergleich auch den ===-Operator benutzen. Oder aber, wenn du keinen Boolean verwenden willst MUSST du die Var $login etnsprechend mit einem Wert initialisieren (z.B. $ogin = 'no')
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #6 (permalink)  
Alt 26-05-2008, 12:54
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke!

@login: Ja, da hast du natürlich recht. Sry!
War nur schnell hingeschrieben... =)

@htaccess:
Ist
Zitat:
Order Deny,Allow
Deny from All
denn nötig?
Es werden doch schon alle Anfragen die auf eine Datei in "geheim" zeigen auf "download.php" umgeleitet?

Muss es dann so heißen?:
Code:
//.htaccess
Order Deny,Allow
Deny from All
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteRule ^geheim/(.+)$ download.php?file=$1
Mit Zitat antworten
  #7 (permalink)  
Alt 26-05-2008, 13:00
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Entweder Rewriting oder Deny all.

Btw: Führt dein Rewriting nicht zu einer endlosen Umleitung?
Mit Zitat antworten
  #8 (permalink)  
Alt 26-05-2008, 13:03
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Die Sache mit der RewriteRule ist sicher Geschmackssache. Kannst du auch benutzen. Ich für meinen Teil finde es sauberer wenn der User oder Bot, der das PDF direkt aufrufen will, eine entsprechende Fehlerseite bekommt. Damit er auch weiss, dass es sich um einen nicht-erlaubten Zugriff handelt.
EDIT:

Solange du nicht extern umleitest wird wohl wie onemorenerd sagt eine unendliche Weiterleiterei stattfinden

__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 27-05-2008, 17:28
dreman
 Registrierter Benutzer
Links : Onlinestatus : dreman ist offline
Registriert seit: May 2005
Beiträge: 139
dreman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke für die Hinweise:

Habe es jetzt so gelöst:

im Ordner "geheim" liegt meine .htaccess-Datei

Code:
RewriteEngine On
RewriteRule ^(.*\.(pdf))$ download.php?file=$1
RewriteRule ^(.*\.(zip))$ download.php?file=$1
RewriteRule ^(.*\.(ppt))$ download.php?file=$1
Diese leitet alle PDF, ZIPs und PPTs auf download.php um.
(dort findet dann die Berechtigungsprüfung mit header-Auswahl statt)

Allerdings halte ich die Lösung noch nicht besonders toll (.htaccess-Teil).

Ich würde es gerne andersherum haben:
wie:
Leite alle Nicht-PHP-Dateien an download.de weiter...

Mein Versuch:
Code:
RewriteEngine On
RewriteRule !^(.*\.(php))$ download.php?file=$1
Hat leider nicht funktioniert?

Hat jemand eine Idee?

Danke, soweit für alle Hilfe.
dreman
Mit Zitat antworten
  #10 (permalink)  
Alt 27-05-2008, 18:55
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Versuch mal das:

RewriteRule \.php$ - [L]
RewriteRule (.*) download.php?file=$1
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

EJS TreeGrid ansehen EJS TreeGrid

EJS TreeGrid is DHTML component written in pure JavaScript to display and edit data in table, grid, tree view or grid with tree on HTML page

09.04.2019 coqsoft@ | Kategorie: JAVASCRIPT/ Components
Suchmaschine redaktionell, Branchenportal zum Geld verdienen

Programmbeschreibung Die Bezahl-Suchmaschine ist in Perl und PHP programmiert (eigenes CGI-Verzeichnis notwendig), benötigt PHP aber keine MySQL-Datenbank. Webmaster haben mit dieser Suchmaschine neben der normalen kostenlosen Registrierung von Lin

06.04.2019 skripte@ | Kategorie: PHP/ Suchmaschinen
Oog Photo-Video-Gallery

Mit Oog Photo-Gallery können Sie einfach und stilvoll Bilder (auch Video & Audio) auf Ihrem PHP5-Webserver veröffentlichen und verwalten. Lizenz: GNU GPL v2

06.04.2019 trottbrand@ | Kategorie: PHP/ Bilder
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 08:25 Uhr.