Textdatein - Zugriff sperren.
Alex Fechner
- php
0 Schuer0 thomas0 Andreas Korthaus
Hallo ihr lieben. Mein Problem ist folgendes:
Ich habe eine Seite die komplett auf Textdatein basiert. Dort werden unter anderem Benutzernamen und Passwörter gespeichert. Meine ultimative Sicherheitslücke ist nun, dass man die Textdatein im Browser bequem anwählen und auslesen kann. Ich hab mal im FTP-Tool alle Rechte runter genommen. Mein script konnte weiterhin zugreifen. Ein User an seinem PC aber nicht. Dann habe ich mit einem Freund darüber geredet. Er meinte das dies keine dauerhafte Lösung sei. Und siehe da die Datein waren nach einer Weile wider für jeden zugänglich. Nun ist er in Urlaub und ich hab keine Ahnung was ich machen kann. er hat mal etwas erwähnt "htaccess-Dateien" glaube ich. Kann mir dafür vieleicht einer was sagen?
Bin für jede Hilfe dankbar.
MfG
Alex Fechner
Hallo,
er hat mal etwas erwähnt "htaccess-Dateien" glaube ich. Kann mir dafür vieleicht einer was sagen?
durch htaccess lassen sich ganze Verzeichnisse sperren, in denen deine txt-Dateien liegen könnten -> http://de.selfhtml.org/diverses/htaccess.htm#verzeichnisschutz
Weiterhin kannst du derartige Dateien außerhalb des Webroots lagern, so dass der Besucher grundsätzlich keinen Zugriff drauf hat. Etwa so: Userverzeichnis auf dem Kundenserver > Verzeichnis Daten für txt ||| > Webroot (Startverzeichnis für Browserzugriffe). Habe aber keine Ahnung - da müssten Leute mit Fachkenntnis aushelfen - ob man mit diversen Mittelchen und Scripten nicht doch an die Dateien kommt.
Gruß,
_Dirk
Ich glaub ich hab da was für dich. Füge folgenden Code in eine .htaccess-Datei ein und fertig!
<FilesMatch ".+.(txt)$">deny from all</FilesMatch>
Hoffe das hilft!
Hi!
Wie Dirk schon sagte - solche Dateien gehören außerhalb des document root, also noch unter das Verzeichnis wo www.deinedomain.de drauf zeigt, das ist der beste Schutz, sofern Du es nicht z.B. durch dämliche PHP-Scripte wie
<?php
include ('../'.$_GET['filename']);
?>
wieder aushebelst (das müssen nicht notwendigerweise Deine Scripte sein, solche Fehler gibt es auch in bekannter PHP-Software wie postnuke...)
Und sonst bleibt Dir nur den HTTP-Zugriff über die Webserver-Konfiguration zu beschränken.
Falls Du Apache einsetzt, sollten Dir folgende Links helfen:
http://httpd.apache.org/docs-2.0/howto/auth.html#whatotherneatstuffcanido
http://httpd.apache.org/docs-2.0/mod/mod_access.html
http://httpd.apache.org/docs-2.0/howto/htaccess.html
Und sonst hat Sven Rautenberg kürzlich was zum Thema geschrieben: [pref:t=82554&m=481162]
Grüße
Andreas