Sessions und HTTP Auth
Guten Morgen ,
ich habe eine Homepage auf der sich Benutzer einloggen können um in einen internen Bereich zu gelangen. Das funktioniert mit Sessions ganz gut. Das Problem ist nun, dass ich Dateien habe, die nur von bestimmten internen Bneutzern geladen werden dürfen, bzw Ordner in die auf keinen Fall nicht-eingeloggte Leute hineindürfen. Damit auch Google nicht durch die Ordner läuft habe ich eine .htaccess angelegt, welche die Nutzerdaten aus einer SQL-DB ausliest und denn Nutzer dann zulässt oder nicht. Mein Problem ist nun, dass die User genervt sind, dass sie sich beim HTAccess noch einmal anmelden müssen. Nun möchte ich aber auch nicht das gesamte Konzept über den Haufen werfen sondern die Sessions behalten. Eine Zuweisung der SERVER-Variablen geht ja leider auch nicht und wie ich finde ist nur das htaccess unschön zum einloggen. Hat jemand von euch da eine Idee? Lg |
AW: Sessions und HTTP Auth
Zitat:
cx |
AW: Sessions und HTTP Auth
Eine empfehlung hätte ich für dich.
-> Das script is frei verfügbar und von einem kollegen von mir geschrieben mit dem ich zusammen bei dem projet arbeite. http://webdesign.sarkkan.de/moonweb/...nigAufwand.htm Ziemlich sicher auserdem leicht zu integrieren finde ich. LG R4Zz0R |
AW: Sessions und HTTP Auth
Zitat:
anmerkungen zum skript: Zitat:
1. htmlentities( ) dient zur maskierung besonderer zeichen bei der ausgabe von daten in html. darüber hinaus würde man nicht die originären daten in der db speichern, sondern eine (willkürliche / spezifische) maskierung. 2. um eingabedaten in richtung db zu maskieren, wird mysql_real_escape_string benutzt. ich kann R4Zz0R's empfehlung leider nicht teilen; das ganze ist nicht ausgereift. cx |
AW: Sessions und HTTP Auth
Ich kann der Empfehlung ebenfalls keine Zustimmung erteilen.
Schon alleine der Loginvorgang wird durchgeführt ohne die übergebenen POST-Parameter zu maskieren und direkt in das SQL-Query einzubinden: Zitat:
|
AW: Sessions und HTTP Auth
Zitat:
Zitat:
|
AW: Sessions und HTTP Auth
Hi
Zitat:
Und bitte nicht mehr auf magic_quotes_gpc setzen das is ab 5.3 DEPRECATED. Daten die nicht in Richtung DB gehen kann man sich easy ne Funktion schreiben die alle POST, GET usw Daten von nicht gewünschten befreit und gefährliches maskiert. Ich persönlich maskiere durch eine solche funktion alles bevor es meine scripte betritt egal welche ziele sie haben! mfg CKaos |
AW: Sessions und HTTP Auth
Zu dem script muss ich anmerken das da vor einiger zeit noch mehr zu dem beitrag stand..
Wurde wohl überarbeitet sorry für den ausrutscher ... O.T @ Ckaos: meinst du etwa sowas wie (pseudocode *sollte aber gehen ;) ) PHP-Code:
|
AW: Sessions und HTTP Auth
Hi
so oder ähnlich ;) PHP-Code:
habe ich ne Klasse die je Seite nur vorher per Formularklasse oder Tempklasse zugelassene/registrierte/Typ bestimmte Daten prüft und durchlässt andere ignoriert und mir nur zur Prüfung ablegt. So lassen sich "versuche" relativ schnell entdecken und im Keim ersticken. mfg CKaos |
AW: Sessions und HTTP Auth
Ähhm ... du entfernst die zeichen einfach ... dh. du machst das selbe wie ich mir str_replace
wobei eine regex warscheinlich performanter ist ... bei post ist es auserdem weniger sinnvoll wenn du alles filterst und gegen nichts ersetzt also in dem fall es aus dem string löschst da der benutzer ja sicher auch gerne zeichen eingeben würde um seinen text zu formatieren oder code auf der seite zu präsentieren ... da würde ich es dan eher mit mysql_real_escape_string maskieren ( dafür hab ich mir mal ne gute funktion gebastelt :D ) PHP-Code:
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 10:41:35 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.