htacces-Schutz vor nicht phpBB-Usern

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
Benutzeravatar
Faser
Ehemaliges Teammitglied
Beiträge: 1651
Registriert: 20.09.2001 02:00
Kontaktdaten:
Kontaktdaten von Faser

htacces-Schutz vor nicht phpBB-Usern

Beitrag von Faser »

Hallo ihr Coder !! :D

Eine Idee wäre ein Verzeichnis-Schutz für alle nicht-phpBB-User. Also dass man als phpBB User mit htaccess Zugriffsrechte hat und Username und Password eingeben kann und ansonsten halt nicht rein kommt...

Sinnvoll wäre das beispielsweise für Upload-Manager: Wenn man nicht registriert ist, kann man keine Dateien herunterladen. Ein einfacher Schutz in der php-Datei wäre ja sinnlos.

Vielen Dank schon mal im Voraus!!
Faser

PS: Falls ich das etwas undurchschaubar erklärt habe, ich erklär's gerne nochmal ;-)
QUADRATDESIGN. Eine runde Sache.
Besuchen Sie unsere Agentur für Webdesign unter http://quadratdesign.de
Nach oben
Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:
Kontaktdaten von itst

Beitrag von itst »

Da wäre zunächst mal die Frage zu klären, ob man das zusätzlich oder ausschließlich haben will. Denn wenn man das zusätzlich macht, müssen sich die User zweimal authentisieren.
Sascha A. Carlin,
phpBB.de Ehrenadministrator :o
Nach oben
Benutzeravatar
sica
Mitglied
Beiträge: 23
Registriert: 13.04.2002 12:01
Wohnort: Nuernberg

Beitrag von sica »

Wenn moeglich wuerde ich die Dateien einfach ausserhalb des Document Roots ablegen und ueber ein Script an den User verschicken, in diesem Script kannst du ja die phpBB Session abfragen und gegebenfalls auf die Login Seite umleiten, also garnichts mit .htaccess machen... ist ja dann auch nicht noetig, man kann ja sowieso nicht direkt auf die Datei zugreifen.

Das Versenden der Datei passiert dann in etwa so:

Code: Alles auswählen

header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename="'.$save_name.'"');
readfile($file);
Patrick Preuster
Heaven doesn't want us and Hell is afraid we'll take over
"Wenn man keine Ahnung hat, einfach mal die Fresse halten."
Nach oben
Benutzeravatar
Pyramide
Ehrenadmin
Beiträge: 12734
Registriert: 19.04.2001 02:00
Wohnort: Meschede

Beitrag von Pyramide »

sica hat geschrieben:die Dateien einfach ausserhalb des Document Roots ablegen
Oder, da man das bei den meisten Hostern nicht kann, einfach eine .htaccess mit anlegen/in eine bestehende einfügen:

Code: Alles auswählen

Oder Deny, Allow
Deny From All
Nach oben
Benutzeravatar
Faser
Ehemaliges Teammitglied
Beiträge: 1651
Registriert: 20.09.2001 02:00
Kontaktdaten:
Kontaktdaten von Faser

Beitrag von Faser »

Hmm, es geht darum, dass es einen Ordner gibt, in dem registrierte User browsen und downloaden können (nach Eingabe der Passwörter)

Dazu muss man eine htacces-Password-Username-Datei anlegen (oder wie heißt die?? :D) - also dort stehen Benutzernamen und deren Passwörter.

Damit ich jetzt aber nicht jedesmal, wenn sich ein neuer User registriert, diese Datei updaten muss (was aufgrund verschlüsselter Passwörter sowieso nicht ginge), würde ich diesen Vorgang gerne automatisieren...
QUADRATDESIGN. Eine runde Sache.
Besuchen Sie unsere Agentur für Webdesign unter http://quadratdesign.de
Nach oben
Jensemann
Ehemaliges Teammitglied
Beiträge: 2549
Registriert: 25.02.2002 01:00

Beitrag von Jensemann »

Wenn dein Hoster PHP als Modul eingebunden hat, kannst du HTTP AUTH auch ohne .htaccess erreichen:

http://www.php.net/manual/en/features.http-auth.php

Du fragst dann einfach die phpBB Tabelle ab und gleichst die User Supplied Credentials dagegen ab.

Nur für den Fall:

Komm nicht auf die Idee das phpBB Auth System dagegen auzutauschen. ich hab es versucht, 3 Monate dran gehackt, vergiss eine solche Idee einfach, du stösst an allen möglichen ecken auf Probleme.

Jens
Nach oben
Antworten

Zurück zu „Coding & Technik“