[Bookworm]

Moin
ich habe mir mal so ein ganz simples Beispiel einer Passwortabfrage gecodet:

Login.htm

HTML-Code:

<html>
<body>
<form action="auswetung.php" method="post">
Benutzername: <input type="text" name="name">
Passwort: <input type="password" name="password">
<input type="sumbit" value="OK">
</body>
</html> 

daten.php

PHP-Code:

<?php

$NAME = "tester";
$PASSWORD = "test";

?>

auswertung.php

PHP-Code:

<?php

$name = $_POST['name'];
$password = $_POST['password'];

include("daten.php");

if ($name == $NAME   &&   $password == $PASSWORD)
{
setcookie("login", "exist");
include("#inhalt.php");
}
else include("fehler.php");
?>

#inhalt.php

PHP-Code:

<?php

$login = $_COOKIE['login'];

if (!isset($login))
{
die("Sie sind nicht eingeloggt. Zugriff verweigert.");
}

echo "blabla...." //Der Inhalt der geschützten Datei

?>

fehler.php

PHP-Code:

<?php

echo "Sie konnten nicht eingeloggt werden.";

?>

So, das Ganze ist ja jetzt mehr oder weniger durchdacht, und auf jeden Fall mal dagegen gesichert, dass die geschützte Datei einfach so aufgerufen werden soll.
Jetzt ist aber mein Problem: PHP-Dateien, die am Anfang des Namens ein #-Tragen, können ja nur includiert, aber nicht direkt eingesehen werden (Jedenfalls sagt das meint PHP-Buch). So, wenn ich mit dem Browser jetzt aber das Verzeichnis in dem die geschützte Datei liegt aufrufe, und dann (im FF) auf den Namen der geschützten Datei klicke, öffnet er sie anstandslos - unter dem Namen ...%23inhalt.php!

Jetzt wüsste ich gerne, was man tun kann... Man könnte doch z.B. das öffnen der Datei ganz unterbinden, oder einen Code schreiben, der das Anzeigen der Inhalte bei nichtincludieren in die richtige Datei blockiert, oder irgendwie verhindern, dass das Verzeichnis eingesehen werden kann.

Meine Testumgebung ist die neueste Xampp-Version.

Gruß
Bookworm

//edit:

P.S. Tippfehler im Code bitte ich zu entschuldigen. Ich habe das hier nur aus dem Kopf nachgecodet und nicht getestet. Original funktioniert bis auf das Angesprochene einwandfrei.

[Jojo]

Wie wärs, wenn du die zu schützenden Dateien in einen Ordner mit den Rechten 660 packst? Der Besitzer des Ordners muss natürlich der apache-user sein (das kannst du erreichen, indem du den ordner mit einem php-script erstellst)
Dann kannst du die Dateien zwar includieren, aber von außen nicht aufrufen...

[Bookworm]

Ahja...
Moment mal! muss ich dann alle Dateien includieren? Heißt das, ich muss für jede Datei nochmal eine anlegen, jeweils mit dem Inhalt include("blabla.php"); oder wie? Ist ja voll mistig...
Gruß BOokworm

[Jojo]

Ich versteh jetzt nich so ganz was du willst.
Einerseits machst du für eine einzelne Datei "#inhalt.php" eine Überpfüng von Login und andererseits willst du das nicht für alle Dateien machen?
Entscheid dich mal
Machs am besten anders:
Du testest für jede Datei, ob der besucher schon eingeloggt ist (für dein Beispiel reicht jetzt mal ein Cookie mit Namen "login" und dem Wert "true", oder irgendwas) und wenn das Cookie existiert, dann zeigst du die Datei an, und wenn nicht, dann zeigst du ein Login-Form an, das die Daten an auswertung.php weiterleitet.
Natürlich ist das ziemlich unsicher für den allgemeinen Gebrauch, denn es ist ziemlich leicht, ein solches Cookie anzuwenden.
Wenn du mein Beispiel verstanden und umgesetzt hast, dann kannst du deinen Login-Check noch mal verbessern; z.B. durch den Einsatz von Sessions, o.ä.
Grüße,
Jojo

[robo47]

nur mal nebenbei, versuch mla bei der entwicklung deiner scripte

error_reporting(E_ALL);

immer gaaanz oben am anfang deiner scripte zu benutzen.

z.b.

PHP-Code:

error_reporting(E_ALL);
$login = $_COOKIE['login'];

var_dump($login);

if (!isset($login))
{
    echo 'drin';
}
else
{
    echo 'ned drin';
} 


und du wirst sehen, das ist nicht sauber gearbeitet, weil das immer true ist!

du überprüsst ob $login gesetzt ist, und das ist immer gesetzt weil du es oben setzt, ob es NULL oder sonstwas enthält ist dabei egal.

mfg
robo47

[Jojo]

@Bookworm
was robo dir sagen möchte ist eigentlich, dass du nciht davon ausgehen kannst, dass das $_COOKIE-Array überhaupt den Index "login" besitzt.
Du könntest das ganze dann so lösen:

PHP-Code:

error_reporting(E_ALL);
if (!isset($COOKIE['login']))
{
    echo 'drin';
}
else
{
    echo 'ned drin';
} 


respektive könntest du auch mit

PHP-Code:

array_key_exists('login', $_COOKIE); 


arbeiten, aber liefert auch true, wenn der Index 'login' auf null verweist.
Grüße,
Jojo

[Jann Hendrik]

mal ne Frage, warum willst du überhaupt deinen php-files Namen geben, die scheinbar nur Probleme machen?

btw:
Ein sessionbasiertes Loginsystem
ggf. für dich interessant

[Bookworm]

Zitat:

mal ne Frage, warum willst du überhaupt deinen php-files Namen geben, die scheinbar nur Probleme machen?

Versteh ich nicht...

Ich könnte doch auch einfach die Login-Datei in "index.php" umbennen, dann wird die automatisch aufgerufen, wenn man nur das Verzeichnis ansteuert.

//edit:

Zitat:

ggf. für dich interessant

Ne, ist es nicht. Ich habe keinen blassen Schimmer von MySQL und die Hälfte der Kommandos im Code habe ich noch nie gesehen.

[Jann Hendrik]

Zitat:

Zitat von Bookworm

Jetzt ist aber mein Problem: PHP-Dateien, die am Anfang des Namens ein #-Tragen

ICH habe solche merkwürdigen Dateinamen nicht!
Daher die Frage, warum du dich für derartige Dateinamen entscheiden willst?

btw: das Tutorial mag auf den ersten Blick wirr und komplex erscheinen. Es ist aber allemal wert es durchzurarbeiten!

[dejan_spasic]

Zitat:

Zitat von Bookworm

Moin
Jetzt ist aber mein Problem: PHP-Dateien, die am Anfang des Namens ein #-Tragen, können ja nur includiert, aber nicht direkt eingesehen werden (Jedenfalls sagt das meint PHP-Buch). So, wenn ich mit dem Browser jetzt aber das Verzeichnis in dem die geschützte Datei liegt aufrufe, und dann (im FF) auf den Namen der geschützten Datei klicke, öffnet er sie anstandslos - unter dem Namen ...%23inhalt.php!

Jetzt wüsste ich gerne, was man tun kann... Man könnte doch z.B. das öffnen der Datei ganz unterbinden, oder einen Code schreiben, der das Anzeigen der Inhalte bei nichtincludieren in die richtige Datei blockiert, oder irgendwie verhindern, dass das Verzeichnis eingesehen werden kann.

Meine Testumgebung ist die neueste Xampp-Version.

Wenn ich dich richtig verstanden habe, kannst du bestimmte Dateien in der .htaccess Datei oder in der Direktive VirtualHost durch die FilesMatch-Direktive den Zugriff von außen schützen.

Code:

#Nicht getestet
<FilesMatch "\^#([^\.])+\.(php|inc)$">
    order deny,allow
    deny from all
</FilesMatch>

http://httpd.apache.org/docs/2.0/mod...tml#filesmatch
http://httpd.apache.org/docs/2.0/mod...ess.html#order

Eine abzusichernde Datei mit eine # als Prefix zu markieren, finde ich Persönlich ebenfalls unpassend. Vielleicht wären zwei Unterstriche, oder der Gleichen, besser geeignet.

Den Cookie auf seine existens abzufragen ist ebenfalls sehr unsicher, da jeder so ein Cookie selbst Lokal erstellen kann. Da man den Ihnalt des Cookies ebenfalls leicht Lokal manipulieren kann, würde ich daher empfehlen den Inhalt/Wert des Cookies, z.B. durch Blowfish-Algorithmus, zu Verschlüsseln/Entschlüsseln und diese dann abfragen bzw. auf den Client speichern.
http://de.php.net/manual/de/ref.mcrypt.php

[Bookworm]

Leute?
Mein Buch, mit dem ich PHP lernen will, sagt, dass man Dateien, die man so schützen will, dass man sie nicht direkt aufrufen kann, nur mit einer Raute am Anfang speichern muss.
Deswegen habe ich eine Raute an den Anfang gesetzt, damit man sie nicht normal angucken kann. Steht im Buch... Ich dachte, was da steht, stimmt, deswegen...

[Jojo]

Schlechtes Buch
Was'n das für eins?
//edit: bzw. Setzt dein Autor eventuell ene bestimmte httpd.conf vorraus?

[Bookworm]

Das da:

http://www.amazon.de/exec/obidos/ASI...173780-0636536

Hatte 1a Rezensionen, stelle aber mittlerweile selber fest, das es nicht so toll ist: Man lernt im dritten Kapitel eine Umfrage zu erstellen, die sämtliche Daten noch in eine Textdatei schreibt, anstatt das man mal richtig MySQL lernen würde...
Das kann ich immer noch nedd, weil man Computer abstürzt, wenn ich versuche PHPmyAdmin aufzurufen... *man, ich würd das echt gerne mal lernen...*

LG Booki

[Jojo]

Das is schlecht, wenn dein PC abstürzt, wenn du PHPMyAdmin aufrufst.
Hast du dir deinen XAMPP selbst gebastelt?
Ich würd dich einfach mal in das Tutorial-Forum schicken.
Da lernste sowas...

[Bookworm]

Ich habe Xampp runtergeladen, auf CD gebrannt und installiert. So, jetzt rufe ich http://localhost/phpmyadmin auf, dann fängt der comp an u laden und läd und läd und macht sonst garnix mehr, bis firefox irgendwann von alleine abbricht...

[dejan_spasic]

Probier es erstmal mit der Seite http://tut.php-q.net/

http://forum.developers-guide.net/showthread.php?t=884

[dejan_spasic]

Leufen denn die Server Apache und MySQL

[Bookworm]

Die Seite oben kenne ich schon und ich komme mit ihr nedd klar... Außerdem habe ich an dem Computer an dem ich die Homepage entwickle keinen Internetzugang.

Ja, Apache läuft. MySQL weiß ich nicht, konnte ich nicht ausprobieren weil ich keinen Plan davon habe...

[Ben]

Zitat:

Zitat von Bookworm

MySQL weiß ich nicht, konnte ich nicht ausprobieren weil ich keinen Plan davon habe...

Alter. Du musst einfach im XAMPP-Control-Panel den Button für MySQL anklicken. Der ist direkt unter dem Button für den Apache .. .. das hat nichts mit "kein Plan von MySQL" zu tun.

Grüße Ben.

[Bookworm]

Na, also beim Starten von Xampp kommt doch des DOS-Fenster. Und da steht dann unter anderem drinnen:

Apache Server running....
MySQL running...
und so weiter

und wenn ichs beeende kommt

apache killed...
mysql killed...

ich denke mal es läuft schon....