htaccess wo?

kidrob · Beitrag von **kidrob** » 18.07.2006 19:32

Habe eben ne htaccess in mein /admin/ - verzeichnis gepackt - klappt bestens-jetzt müsste ja mein Adminbereich bestens geschützt sein!?

In welchen Forenordnern ist diese Maßnahme noch sinnvoll?

larsneo · Beitrag von **larsneo** » 18.07.2006 20:06

/admin, /db und /includes kann ein .htaccess sicherlich gut tun, ggfs. noch /docs um keinen version disclosure zu haben...

kidrob · Beitrag von **kidrob** » 18.07.2006 20:18

Perfekt! Danke!

kidrob · Beitrag von **kidrob** » 18.07.2006 20:35

Hi, Sorry, in /includes geht glaub nicht ganz, da wenn ich das da reinmach muss ich beim Aufrufen der Seite (Portal) auch die Zugangsdaten eingeben...

Lässts sich dass umgehen oder muss ich die htaccess dann wohl aus dem /includes-Verzeichnis rauslassen?

Beitrag von **S2B** » 18.07.2006 21:36

Ich würde dir empfehlen, folgende .htaccess für die Ordner includes und db zu verwenden, denn da brauchst du ja keine Passwortabfrage:

Code: Alles auswählen

<Limit GET POST PUT>
	Order Allow,Deny
	Deny from All
</Limit>

Wenn du allerdings in einem Ordner Dateien hast, die du direkt ausführen willst/musst (z.B. wenn du den AJAX-MOD installiert hast), müsstest du die .htaccess anpassen, z.B. so für das Blockieren von direkten Aufrufen auf php-Dateien:

Code: Alles auswählen

<Files "*.php">
	Order Allow,Deny
	Deny from All
</Files>

So kann man übrigens auch seine tpl-Dateien im templates-Ordner schützen:

Code: Alles auswählen

<Files "*.tpl"> 
	Order allow,deny 
	Deny from all 
</Files>

Beitrag von **cYbercOsmOnauT** » 19.07.2006 03:14

Du hast da scheinbar was falsch verstanden S2B. Sein Problem ist es, das in seinem /includes-Verzeichnis sich nicht nur php-Dateien befinden, die inkludiert werden, sondern auch z.B. JavaScript-Dateien auf die einige Mods zugreifen (zum Beispiel der Calendar Pro MOD hat seine Grafiken und js in Unterverzeichnissen von /includes).

Lösung: Du musst die Mods, die "publike" Dateien im /includes abfragen umprogrammieren und diese Dateien vom includes hinaus woanders hin verschieben.

Grüße,
Tekin

Beitrag von **S2B** » 19.07.2006 15:18

Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder? *grübel* Wenn man die erste Anweisung verwendet, wird nur der Zugriff auf php-Dateien gesperrt, die anderen Dateien können weiterhin direkt geöffnet werden.

h-o · Beitrag von **h-o** » 19.07.2006 15:30

S2B hat geschrieben:Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder?

Nur dann, wenn die php-Dateien in /forum/includes von einer anderen serverbasierten Datei (also einer php-Datei, etwa /forum/ oder /forum/includes) aufgerufen wird.

Wenn dagegen eine Javascript-Datei (egal, wo sie sich befindet) versucht, eine php-Datei im includes-Verzeichnis aufzurufen, kommt der 403, weil Javascript browserbasiert ist.

Beitrag von **S2B** » 19.07.2006 15:37

Jep, und genau das ist ja gewollt: Die php-Dateien sollen zwar noch von anderen php-Dateien "includebar" sein, aber nicht ganz normal aufrufbar sein.

Beitrag von **Jensemann** » 19.07.2006 18:17

S2B hat geschrieben:Aber genau das verhindern doch die von mir geposteten <Files>-Anweisungen, oder? *grübel*

Korrekt. Aber wozu PUT erlauben? Kann eigentlich gänzlich gestrichen werden.

phpBB.de

htaccess wo?

htaccess wo?

thx

hmm