phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

htacces-Schutz vor nicht phpBB-Usern

https://www.phpbb.de/community/viewtopic.php?t=28227

Seite 1 von 1

htacces-Schutz vor nicht phpBB-Usern

Verfasst: 27.05.2003 18:09
von Faser
Hallo ihr Coder !! :D

Eine Idee wäre ein Verzeichnis-Schutz für alle nicht-phpBB-User. Also dass man als phpBB User mit htaccess Zugriffsrechte hat und Username und Password eingeben kann und ansonsten halt nicht rein kommt...

Sinnvoll wäre das beispielsweise für Upload-Manager: Wenn man nicht registriert ist, kann man keine Dateien herunterladen. Ein einfacher Schutz in der php-Datei wäre ja sinnlos.

Vielen Dank schon mal im Voraus!!
Faser

PS: Falls ich das etwas undurchschaubar erklärt habe, ich erklär's gerne nochmal ;-)

Verfasst: 27.05.2003 18:21
von itst
Da wäre zunächst mal die Frage zu klären, ob man das zusätzlich oder ausschließlich haben will. Denn wenn man das zusätzlich macht, müssen sich die User zweimal authentisieren.

Verfasst: 27.05.2003 19:19
von sica
Wenn moeglich wuerde ich die Dateien einfach ausserhalb des Document Roots ablegen und ueber ein Script an den User verschicken, in diesem Script kannst du ja die phpBB Session abfragen und gegebenfalls auf die Login Seite umleiten, also garnichts mit .htaccess machen... ist ja dann auch nicht noetig, man kann ja sowieso nicht direkt auf die Datei zugreifen.

Das Versenden der Datei passiert dann in etwa so:

Code: Alles auswählen

header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename="'.$save_name.'"');
readfile($file);

Verfasst: 27.05.2003 20:10
von Pyramide
sica hat geschrieben:die Dateien einfach ausserhalb des Document Roots ablegen
Oder, da man das bei den meisten Hostern nicht kann, einfach eine .htaccess mit anlegen/in eine bestehende einfügen:

Code: Alles auswählen

Oder Deny, Allow
Deny From All

Verfasst: 30.05.2003 17:52
von Faser
Hmm, es geht darum, dass es einen Ordner gibt, in dem registrierte User browsen und downloaden können (nach Eingabe der Passwörter)

Dazu muss man eine htacces-Password-Username-Datei anlegen (oder wie heißt die?? :D) - also dort stehen Benutzernamen und deren Passwörter.

Damit ich jetzt aber nicht jedesmal, wenn sich ein neuer User registriert, diese Datei updaten muss (was aufgrund verschlüsselter Passwörter sowieso nicht ginge), würde ich diesen Vorgang gerne automatisieren...

Verfasst: 30.05.2003 23:22
von Jensemann
Wenn dein Hoster PHP als Modul eingebunden hat, kannst du HTTP AUTH auch ohne .htaccess erreichen:

http://www.php.net/manual/en/features.http-auth.php

Du fragst dann einfach die phpBB Tabelle ab und gleichst die User Supplied Credentials dagegen ab.

Nur für den Fall:

Komm nicht auf die Idee das phpBB Auth System dagegen auzutauschen. ich hab es versucht, 3 Monate dran gehackt, vergiss eine solche Idee einfach, du stösst an allen möglichen ecken auf Probleme.

Jens
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de