SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Handbuch der Java-Programmierung

Handbuch der Java-Programmierung zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP Grundlagen

PHP Grundlagen Hier kann über grundlegende Probleme oder Anfängerschwierigkeiten diskutiert werden

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 18.10.2009, 11:20:53
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
.htacess zugriffsproblem

Guten Morgen Community,

Ich habe das folgende Problem und sitze seit 3 Tagen erfolglos an einer Lösung:

Ich schreibe gerade mit PHP ein CMS.

Jetzt möchte ich aber einzelne ordner in dem verzeichnis, wo die index.php liegt, schützen, sodass nur die index.php die in den ordnern befindlichen Dateien aufrufen kann.

Die ist meine Orderstruktur:

httpdocs/admin
httpdocs/class
httpdocs/email
httpdocs/func
httpdocs/images
httpdocs/install
httpdocs/layout
httpdocs/modules
httpdocs/systemmodules
httpdocs/tmp
httpdocs/index.php
httpdocs/stylesheet.css

besonders die ordner images/ und layout/ möchte ich mit .htaccess schützen, sodass man diese dateien nicht mit vollständiger URL im Browser eingeben kann.

Mir ist es im Endeffekt egal, ob zu einer anderen Seite weitergeleitet wird oder ein 500er Fehler kommt.

Ich habe schon diverse Scripte ausprobiert, mit mehr oder weniger Erfolg.

Hauptproblem: Der Zugriff wird komplett gesperrt, das ich ja richtig. Aber nun wird auch der index.php der Zugriff verweigert, die diese Dateien mit <img> und include() einbindet.

Hat jemand einen vorschlag oder eine Idee, wie sich dieses Problem lösen lässt?
Hoffe auf eure Hilfe :)
vlg Bodo


edit: ich hoffe, ich habe das forum richtig gewählt? *zwinker* :)
Mit Zitat antworten
  #2  
Alt 18.10.2009, 11:31:46
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.681
AW: .htacess zugriffsproblem

Hallo und willkommen hier im Forum.

Und wie sieht (jeweilige) Deine .htaccess-Datei aus?
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3  
Alt 18.10.2009, 12:07:42
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 45
Beiträge: 1.938
AW: .htacess zugriffsproblem

anderer / besserer (?) vorschlag:

schmeiss nicht alles in einen ordner, sondern separiere öffentlich zugängliche inhalte (aufruf durch browser wie index.*, *.css, *.js, *.jpg) von "anwendungsdateien".

resourcen, die nicht "von aussen" zugänglich sein müssen / dürfen, werden in einen ordner oberhalb des webroots gespeichert; bsp.:

projekt\app\admin
projekt\app\class
projekt\app\email

alle anderen resourcen werden unterhalb des webroots abgelegt:

projekt\httpdocs\index.php
projekt\httpdocs\stylesheet.css

cx
Mit Zitat antworten
  #4  
Alt 18.10.2009, 12:34:30
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
AW: .htacess zugriffsproblem

Hallo vt1816,

Also im Moment ist meine .htaccess leer, weil ja sonst nichts gehen würde :D


Ahm... Also so ungefähr sah sie mal aus, Da konnte man alles nur mit eingeben des Administrator Passwortes sehen. War so schon richtig, nur muss die Index.php ja alles aufrufen dürfen :D
Code:
authType      basic
authName      'Geschützter Bereich'
authUserFile  /func/.htuser
order         deny,allow
deny from     all
satisfy       all
require Administrator

<File index.php>
order deny,allow
allow from all
</Files>
edit: Danke für den Vorschlag Cortex.Ich habe über derartiges bereits nachgedacht, aber den Gedanken wieder verworfen, weil es die Übersichtlichkeit extrem einschränkt, und soweit geht es ja, nur dass die Index.php nicht richtig funktioniert.

Edit2: Hab die .htaccess mal hochgeladen, hier das ergebnis: http://webtouch-messenger.com/
Mit Zitat antworten
  #5  
Alt 18.10.2009, 21:07:58
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
AW: .htacess zugriffsproblem

Hmm... wäre es vllt eine bessere Idee, einfach alle zugriffe auf die Ordner, die man als normaler User nicht einsehen darf, auf eine forbidden datei umzuleiten?

Code:
Redirect /class forbidden/forbidden.html
Redirect /email forbidden/forbidden.html
Redirect /func forbidden/forbidden.html
Redirect /images forbidden/forbidden.html
Redirect /layout forbidden/forbidden.html
Redirect /modules forbidden/forbidden.html
Redirect /systemmodules forbidden/forbidden.html
Redirect /tmp forbidden/forbidden.html
Redirect stylesheet.css forbidden/forbidden.html
Ich denke, das würde das Problem lösen, oder?
Mit Zitat antworten
  #6  
Alt 19.10.2009, 09:17:21
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 45
Beiträge: 1.938
AW: .htacess zugriffsproblem

nunja, eine machbare, wenn auch primitive vorgehensweise. gerade bei komplexen projekten kann das unübersichtlich werden. wenn schon so, würde ich alle zugriffe sperren und die erlaubten resourcen per whitelist freigeben.

der code

Code:
Redirect stylesheet.css forbidden/forbidden.html
führt dazu, dass die css-datei nicht mehr erreichbar ist - auch nicht durch den browser beim rendern der seite. das willst du sicher nicht...

Zitat:
Zitat von Bodo06 Beitrag anzeigen
Danke für den Vorschlag Cortex.Ich habe über derartiges bereits nachgedacht, aber den Gedanken wieder verworfen, weil es die Übersichtlichkeit extrem einschränkt, und soweit geht es ja, nur dass die Index.php nicht richtig funktioniert.
du musst deine sichtweise ändern. ein projekt besteht nunmal aus öffentlich zugänglich und nicht öffentlich zugänglichen resourcen. an dieser stelle eine trennung herbeizuführen, erhöht nicht nur die übersichtlich und kontrolle, sondern wird auch i.a. als grundlegende sicherheitsmaznahme empfohlen.

cx
Mit Zitat antworten
  #7  
Alt 19.10.2009, 16:05:49
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
AW: .htacess zugriffsproblem

Zitat:
Zitat von cortex Beitrag anzeigen
nunja, eine machbare, wenn auch primitive vorgehensweise. gerade bei komplexen projekten kann das unübersichtlich werden. wenn schon so, würde ich alle zugriffe sperren und die erlaubten resourcen per whitelist freigeben.
Kay. Hm, Whitelist. ich glaube, das ist genau das was ich brauche, es soll ja, außer der index.php, niemand drauf zugreifen dürfen, auf keine Datei.

Zitat:
Zitat von cortex Beitrag anzeigen
der code

Code:
Redirect stylesheet.css forbidden/forbidden.html
führt dazu, dass die css-datei nicht mehr erreichbar ist - auch nicht durch den browser beim rendern der seite. das willst du sicher nicht...
Nein, durchaus nicht^^

Zitat:
Zitat von cortex Beitrag anzeigen
du musst deine sichtweise ändern. ein projekt besteht nunmal aus öffentlich zugänglich und nicht öffentlich zugänglichen resourcen. an dieser stelle eine trennung herbeizuführen, erhöht nicht nur die übersichtlich und kontrolle, sondern wird auch i.a. als grundlegende sicherheitsmaznahme empfohlen.

cx
Arw... Yeah, Problem erkannt, Gefahr gebannt... Die einzige Datei, auf die man zugreifen darf, ist die index.php und der ordner /admin, aber das wäre leicht auch per subdomain regelbar....

Magst du mir einmal ein Beipsiel posten, wie solch eine Whitelist aussehen könnte, die den einzigen Zugriff der im darüberliegenden Ordner index.php erlaubt? Dank dir :)
Mit Zitat antworten
  #8  
Alt 19.10.2009, 17:39:14
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 45
Beiträge: 1.938
AW: .htacess zugriffsproblem

Zitat:
Zitat von Bodo06 Beitrag anzeigen
Magst du mir einmal ein Beipsiel posten, wie solch eine Whitelist aussehen könnte [...]
hab ich gerade nicht auf tasche - sorry. denke aber, dass du das selbst hinbekommst - sollte ein klacks sein, wenn du dich bereits an die programmierung eines cms wagst .-

cx
Mit Zitat antworten
  #9  
Alt 19.10.2009, 18:23:37
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
AW: .htacess zugriffsproblem

Hmm, okay. Du sprichst jetzt von einer Whitelist in PHP oder in .htaccess?
Mit PHP beschäftige ich mich seit 4 Jahren, mit .htaccess seit genau 4 :)

Ich werd google nocheinmal penetrieren ;)
Mit Zitat antworten
  #10  
Alt 20.10.2009, 18:57:02
Bodo06 Bodo06 ist offline
Anfänger
 
Registriert seit: Oct 2009
Ort: Celle
Alter: 29
Beiträge: 7
Bodo06 eine Nachricht über ICQ schicken Bodo06 eine Nachricht über Skype™ schicken
AW: .htacess zugriffsproblem

Guten Abend Community,

Ich habe das Problem nun gelöst.

Problem hierbei war, dass ich ALLE Design und Struktur Dateien schützen wollte, also auch JS und CSS Dateien. Dies ist jedoch nicht möglich, da sie von der index über HTTP eingebunden werden, sprich unter Berücksichtigung der .htaccess.

Im Endeffekt kann man eh jeden HTML, JS und CSS code klauen, weil letztendlich alles auf der Festplatte des Users liegt, die Dateien werden von der .html/.php datei mitgesendet. Den Zugriff auf diese Dateien zu verbieten ist demnach so gut wie sinnlos :D

Lösung:

Ich habe mir die Server/Client Struktur zu nutze gemacht. Die include()-Funktion von PHP ist ja völlig unabhängig von irgendeiner .htaccess zugriffskontrolle, weil es sich dabei ja um einen direkten Dateizugriff handelt, htaccess schützt ja den HTTP zugriff.

Nun habe ich in jedem Ordner, den man nicht einsehen dürfen soll, diese .htaccess datei abgelegt:
Code:
deny from all
=Schützt jede Datei in dem Ordner vor Zugriffen. Ist, wie oben beschreiben, nicht schlimm, PHP interessiert das nicht.

den ordner /func musste ich speziell behandeln, weil er folgende Datenstruktur hat:
Code:
func/css                            //Ordner mit .CSS Dateien
func/functions                    // PHP Funktionen
func/js                              //JS Dateien
func/#body.php
func/#database.php           //Verschiedene wichtige Dateien
func/#emailsettings.php
func/#functions.php
func/#head.php
func/#panel.php
func/#settings.php
func/info.php
JavaScript, CSS und PHP in einem Ordner. Auch nicht weiter schwierig:
Code:
<Files *.php>
deny from all
</Files>
Nun habe ich Mein Problem gelöst, auch wenn es nicht ganz das war was ich wollte, aber das ist leider nicht realisierbar :DD

Hoffe das hilft einem suchenden Weiter ;))

Viele liebe Grüße
Bodo
Mit Zitat antworten
Antwort

Stichworte
bilder, htaccess, index, verweigern, zugriff


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Web-Root-Verzeichnis mitteles .htacess umstellen mitro76 Apache HTTP-Server 1 24.10.2007 01:38:15
Login mit .htacess und php xu/lin PHP für Fortgeschrittene und Experten 1 06.03.2007 01:02:53
Login-Logout ohne Datenbank und .htacess Socrates PHP Entwicklung und Softwaredesign 8 03.11.2006 06:56:34


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:20:41 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.


© 2001-2021 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt