php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 03-02-2004, 19:39
JayQ
 Guest
JayQ
Beiträge: n/a
Standard Problem mit .htaccess und md5 (PHP)

Hallo zusammen


Ausgangslage

Wir haben eine bestehende MySQL Datenbank mit ungefähr 3500 Nutzern. In der Datenbank sind die Nutzer mit Benutzernamen und Passwort gespeichert. Das Passwort wird vor dem Eintrag in die Datenbank mit der PHP Funktion md5 verschlüsselt.

Des weiteren haben wir eine PHP-Klasse für die Authentifizierung mittels WWW-Authenticate erstellt, die wir auf allen zu schützenden Seiten am Anfang mittels include einbinden.

Gehostet wird das ganze auf einem Red Hat Linux Server mit Apache.

Anforderung
Wir möchten nun auch ganze Verzeichnisse vor dem Zugriff schützen können, damit nur angemeldete Nutzer auf die Dateien darin (z.B. Word-Dokumente) zugreifen können.

aktueller Lösungsansatz
Da Verzeichnisse mittels .htaccess geschützt werden müssen, haben wir uns folgende Lösung ausgedacht:

Wir erstellen ein PHP-Skript, dass bei jeder Änderung in der Benutzerdatenbank (Neuanmeldung, Änderung Passwort oder Benutzername) wieder den aktuellen Stand in die .htpasswd Datei für das zu schützende Verzeichnis kopiert. Somit können wir dem Skript auch sagen, dass z.B. nur ganz bestimmte Benutzer zu diesem Verzeichnis Zugriff erhalten sollen und deren Benutzername & Passwort in die .htpasswd Datei kopierd werden soll.

Problemstellung
Wenn wir nun aber aus der Datenbank das mittels PHP md5 verschlüsselte Passwort so in die .htpasswd Datei kopieren, funktioniert danach das Login mittels .htacces nicht, da der Apache Server anscheinend davon ausgeht, dass die Passwort in der .htpasswd Datei mittels "crypt" verschlüsselt sind...

Hat jemand ne Ahnung wie wir dieses Problem nun am sinnvollsten lösen könnten bzw. einen besseren Lösungsansatz?`

Ich bedanke mich für sämtliche Hinweise!
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 03-02-2004, 19:43
Moqui
 Master
Links : Onlinestatus : Moqui ist offline
Registriert seit: Jun 2002
Ort: Nehren, BW
Beiträge: 854
Moqui ist zur Zeit noch ein unbeschriebenes Blatt
Standard

du kannst nur parallel in einer andern Tabelle die originalPWs mitschreiben...

oder wenn jemand die Rechte bekommt ihm ein neues PW per Randomizer zuweisen.

ne andere Möglichkeit seh ich nicht.

Wobei ein Randomizer die sinnvollste Variante wäre. Die User können ja sicher ihre PWs ändern.
__________________
tata
moqui

Ich will keine unaufgeforderten Mails über PHP Fragen. Es gibt ein Forum hier! Und ich bin nicht Scripter für jeden, der mir ne Mail schreibt!
Mit Zitat antworten
  #3 (permalink)  
Alt 03-02-2004, 19:50
JayQ
 Guest
JayQ
Beiträge: n/a
Standard

Okay, vielen Dank!

Dann muss ich wohl die ganze PW-Verschlüsselung von md5 auf crypt umstellen, also dass alle Passwort anstelle von md5 mit crypt verschlüsselt werden, bevor sie in die db kommen... dann dürfte unser Lösungsansatz eigentlich so funktionieren.

Oder gibt es eventuell allgemein viel bessere Möglichkeiten, Benutzer über eine MySQL-Tabelle zu verwalten und ihnen gleichzeitig mittels htaccess Zugriff zu speziellen Verzeichnissen sowie mittels www-Auth auch zu einzelnen PHP-Skripts im Hauptverzeichnis zu gewähren?

Der Grund wieso md5 gewählt wurde war aufgrund der Sicherheit. md5 soll ja anscheinend um ein vielfaches sicherer und unknackbarer sein als crypt,... stimmt das?
Mit Zitat antworten
  #4 (permalink)  
Alt 03-02-2004, 22:27
Coragon Rivito
 Master
Links : Onlinestatus : Coragon Rivito ist offline
Registriert seit: Oct 2002
Ort: Mils/AT
Beiträge: 908
Coragon Rivito ist zur Zeit noch ein unbeschriebenes Blatt
Coragon Rivito eine Nachricht über ICQ schicken Coragon Rivito eine Nachricht über AIM schicken Coragon Rivito eine Nachricht über Yahoo! schicken
Standard

http://www.google.at/search?sourceid...d+auth%5Fmysql

wär ja nicht so dass es da kein modul für den apache gibt ..
http://www.cgi101.com/class/password...uth_mysql.html

kannst auch tabelle und die versch. felder einstellen .. insofern sollte es da kein problem geben ..

nur .. es werden 3 verschlüsselungsarten unterstützt .. bzw 2 ..
plain, die mysql funktion password() und crypt_des ..
genauer hab ich das ned angeschaut ob man vlt md5 einstellen könnte ..
gucks dir aber mal an .. sicherlich interessant
__________________
mfg,
Coragon
Mit Zitat antworten
  #5 (permalink)  
Alt 04-02-2004, 10:32
JayQ
 Guest
JayQ
Beiträge: n/a
Standard

oh danke für den Link.

Hab bei Google gestern auch schon 3 Stunden lang das Internet mit verschiedenen Suchbegriffen durchsucht. Dabei war auch auth und MySQL. Über mod_auth_mysql bin ich zwar auch gestolpert, doch als absoluter Linux und Apache Anfänger konnte ich keine gute Referenz dazu finden. Dein Link ist optimal, da das Modul und dessen Funktionen hier wirklich ausführlich beschrieben sind!

Das mit der Verschlüsselung muss wohl etwas mit Auth_MySQL_Encryption_Types zu tun haben, ich schau mal ob ich da noch mehr finde....
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

10 Gründe, warum das Todesstern-Projekt gescheitert ist
10 Gründe, warum das Todesstern-Projekt gescheitert istDie Todesstern-Projekte sind spektakulär gescheitert. Lernen Sie von den Fehlern des Imperiums und bewahren Sie Ihre Projekte davor, der dunklen Seite der Macht zu verfallen!

24.11.2020 | Berni

Projektmanagement-Grundlagen Was ist ein PMO?
Projektmanagement-Grundlagen Was ist ein PMO?In unserer Infografik erfahrt ihr es.

02.11.2020 | Berni


 

Aktuelle PHP Scripte

ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

21.10.2020 Berni | Kategorie: PHP/ Anzeigenmarkt
Sendeplan Script inkl. Wunsch- und Grußbox + Kick-System + Bewerbungssystem

Das professionelle Sendeplan PHP Script inkl. Wunsch- und Grußbox + Kick-System für dein Webradio. Der übersichtliche Sendeplan bietet deinen Moderatoren und Zuhörern die perfekte Übersicht der aktuellen Shows! Du kannst nicht nur Sendungen eintragen, s

20.10.2020 drcomputer | Kategorie: PHP/ Web Radio
Newsmanager 2

Der Newsmanager 2 ist sehr Vielfältig und kann News schreiben, Newsletter versenden und RSS Feeds in einem erzeugen.

20.10.2020 Stephan_1972 | Kategorie: PHP/ News
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 00:27 Uhr.