php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Sonstiges > Off-Topic Diskussionen
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Off-Topic Diskussionen Kein Platz für Deine Frage gefunden? Dann bist Du hier genau richtig!

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 23-03-2009, 12:32
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard passwortschutz

Hallo zusammen

Ich habe einen Passwort geschützen Bereich programmiert, dort kann man Benutzerdifinierte Texte und Dokumente ansehen.

Mein Problem ist; wenn man die direkte Url der eingebundenen Dokumente anwählt sind diese nicht Passwortgeschützt. Wie kann ich die Dokumente zusätzlich schützen?

Weiss wer einen Rat?
Mit Zitat antworten
  #2 (permalink)  
Alt 23-03-2009, 12:54
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Such einfach mal Passwortschutz.
Du musst natürlich JEDES Dokument schützen.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3 (permalink)  
Alt 23-03-2009, 12:54
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wie hast du geschützt? z.B. mit einem Eintrag im .htaccess kannst du den Ordner komplett schützen. Aber was solldenn das werden, wenn die URL im Dokumenten selbst nicht erreichbar bzw. nicht zugreifbar gemacht werden soll, wozu hast du sie noch drin

Ich verschiebe den Thread erst mal zu OT.
Mit Zitat antworten
  #4 (permalink)  
Alt 23-03-2009, 12:57
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

Warum verschiebst Du mich?

Die Dokumente sollten nur von denjedigen Personen eingesehen werden, welche sich im Logintool via php-MySql und Session angemeldet haben!
Mit Zitat antworten
  #5 (permalink)  
Alt 23-03-2009, 12:59
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Vermutlich weil du keinerlei Hintegrundinformationen lieferst und man dir somit nicht ansatzweise konkret helfen kann. Außer man rattert nochmal sämtliche Grundlagen zum Thema runter, aber die sind wie gesagt bereits im Forum vorhanden.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #6 (permalink)  
Alt 23-03-2009, 13:21
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von sepp
Warum verschiebst Du mich?
Weil es nicht ersichtlich ist, wie konkret dein Problem ist. Ob man mit Programmierung oder Webservereinstellung bzw. -restriktion lösen kann.

Zitat:
Die Dokumente sollten nur von denjedigen Personen eingesehen werden, welche sich im Logintool via php-MySql und Session angemeldet haben!
Dann die Dokumente einfach außerhalb des Webroot verlegen und sie z.B. nur per Serverscript anzeigen - auch die Links im Dokument - dabei kannst du prüfen, ob der Leser Zugriffsrecht besitzt. Das Thema ist uralt und sollte per Forumsuche geholfen werden, falls du mit PHP arbeitest.
Mit Zitat antworten
  #7 (permalink)  
Alt 28-05-2009, 15:04
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

Also ich versuche es nochmal zu erläutern.

Ich habe eine Website bei welcher sich man anmelden kann. Diese Daten werde in einer MySQL DB gespeichert.

Auf der Seite habe ich ein Admininterface (cms) programmiert auf welchem ich den einzelnen Usern individuelle Seiten ertellen kann. Um auch pro User individuell ein pdf zu Verfühgung zu stellen, welches er und nur er ansehen kann.

Das pdf rufe ich über ein php scrip ab, bei welchem ich die User-ID und PDF-ID mitgebe, dort wird geprüft ob der User für das Dok die nötigen Rechte hat; dann wird es ausgegeben - oder auch nicht! (Je nach Recht)

Das funktioniert alles einwandfrei!

Nun möchte ich aber verhindern, dass man das PDF DOK direkt (über die Url) aufrufen kann!

Die Idee ist nun;
Problem 1:...das einzelne File (pdf) mit .htacces mit den bestehenden Passwort und Benutzername aus der DB des Users zu schützen.

Problem 2:...das Passwort via dem php-Script vor dem öffnen des pdf nach .htaccess automatisch weiterzugeben.

Ich hoffe nun sind meine Informationen ausführlicher und genügend für Hilfe.
Mit Zitat antworten
  #8 (permalink)  
Alt 28-05-2009, 15:13
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von sepp Beitrag anzeigen
Nun möchte ich aber verhindern, dass man das PDF DOK direkt (über die Url) aufrufen kann!
Die Lösung habe ich bereits gepostet!
Zitat:
Zitat von asp2php Beitrag anzeigen

Dann die Dokumente einfach außerhalb des Webroot verlegen und sie z.B. nur per Serverscript anzeigen - auch die Links im Dokument - dabei kannst du prüfen, ob der Leser Zugriffsrecht besitzt. Das Thema ist uralt und sollte per Forumsuche geholfen werden, falls du mit PHP arbeitest.
oder die Dokument in einem Ordner ablegen, darin ein .htaccess mit

order deny,allow
deny from all

Das war's.
Mit Zitat antworten
  #9 (permalink)  
Alt 28-05-2009, 15:37
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

Nein in einen Ordner kann der für alle gesperrt ist macht keinen Sinn! Wie soll ich denn den User die einzelnen Doks zuweisen?

Leider habe ich keinen Zugriff auf die Webroot. Und ein Serverscript kann ich auch nicht laufen lassen.......oder ist damit einfach ein php Script gemeint?
Mit Zitat antworten
  #10 (permalink)  
Alt 28-05-2009, 15:48
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Zitat von sepp Beitrag anzeigen
Nein in einen Ordner kann der für alle gesperrt ist macht keinen Sinn! Wie soll ich denn den User die einzelnen Doks zuweisen?
und warum nicht? woher weisst du bisher, welche Dokus zu wem gehört? Normalerweise hat man dafür DB-Einträge die z.B.:

- doku_id
- user_id
- doku_name
- doku_pfad

enthalten und somit weiss man immer was was ist. PHP kann ohne weiteres auf per .htaccess geschützte Verzeichnisse zugreifen. und damit kannst du die Dokumente auch liefern, nachdem du überprüft hast, ob der User Berechtigung hat.


Zitat:
Leider habe ich keinen Zugriff auf die Webroot. Und ein Serverscript kann ich auch nicht laufen lassen.......oder ist damit einfach ein php Script gemeint?
Ja, PHP ist gemeint.
Mit Zitat antworten
  #11 (permalink)  
Alt 28-05-2009, 16:57
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

- doku_id
- user_id
- doku_name
- doku_pfad

Ja, die habe ich alle in einer DB!

Wenn ich Dich richtig verstehe kann ich via php auf des mit
order deny,allow
deny from all
zugreifen? Wie mache ich denn das?

Supi, ich habe nun zugriff auf das Webroot, habe den Ordner nun dort platziert und alles scheint so zu funktionieren.
Wie sicher ist diese Methode?
Mit Zitat antworten
  #12 (permalink)  
Alt 28-05-2009, 16:59
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ziemlich sicher.
Mit Zitat antworten
  #13 (permalink)  
Alt 28-05-2009, 17:10
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

Was heisst ziehmich? Müsste schon eine felsenfeste Version machen!

Wäre die Variante mit .htaccess sicherer?

Und wie kann ich denn auf das Verzeichnis zugreifen wenn es mit .htaccess geschützt ist, via php -> gibt es da ein bestimmtes Vorgehen oder einen Befehl um das die Passworte und Benutzer an .htaccess zu senden?
Mit Zitat antworten
  #14 (permalink)  
Alt 28-05-2009, 17:13
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Es gibt keine 100%ige Sicherheit, daher meine Aussage. Du kannst schützen was du willst, aber wenn der Server geknackt ist, tja, ... im Internet kann viel passieren, auch Server knacken
Mit Zitat antworten
  #15 (permalink)  
Alt 28-05-2009, 17:19
sepp
 Registrierter Benutzer
Links : Onlinestatus : sepp ist offline
Registriert seit: Aug 2007
Beiträge: 296
sepp kann nur auf Besserung hoffen
Standard

Also kann man die Variante mit dem Root-Verzeichnis "nur" mittels Server knacken?

Also nur kurz zu meiner Beruhigung;
Ich habe nun im Verzeichnis html eine Unterodner erstellt und dort den Auftritt hineine gepackt. Auf dem Webserver habe ich die Domain direkt mit dem neuen Ordner verknüpft! Also ist dann die Root der neue Ordner, somit habe ich auf der gleichen Ebene wie der Webordner den Foleupload Ordner und dieser kann nicht direkt angesprochen werden.

Würde mich dennoch interessieren wie ich das Passwort via php an .htaccess weitergeben kann, bzw. prüfen kann?
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 03:18 Uhr.