Yerf!

Kann man das irgendwie manipulieren.
Anmelde Daten an ein Script zu schicken, dass gar keine Authentifizierung benötigt.

Natürlich kann man sich beliebige HTTP-Requests zusammenbauen, aber da ja in deinen Feldern sowohl Name als auch Passwort enthalten sind muss ein Angreifer auch beides kennen und dann kann er ja auch über die normale Anmeldung gehen und muss nicht mehr rumtricksen...

Da fällt mir grad so ein Logikproblem ein: dann müsste ja jede .php prüfen ob Name und PWD stimmen, eine Arbeit die man ja eigentlich per .htaccess an den Apache abgeben wollte. Wobei noch die Frage ist, ob der Apache die Felder [PHP_AUTH_USER] und [PHP_AUTH_PW] ohne erfolgreichen Anmelde-Vorgang überhaupt füllt. Das kann ich jetzt so nicht beantworten (meine erste Annahme zu diesen Feldern, dass die spätestens nach dem Redirect weg wären war ja schon falsch...)

Vielleicht auch einfach den ganzen Knoten so lösen, dass in der geschützten login.php eine Session gestartet wird und darin ein Parameteter "Login = true" abgelegt wird. Der kann sicher nicht von außen beeinflusst werden und dann auf den Folgeseiten als Berechtigung abgefragt werden.

Ja ne,

Weil in dem config-Verzeichnis worüber man sich anmeledet auch der tinymce drin ist...
:-)

a) ich dachte der wäre rein JS?
b) *im* Config-Verzeichnis ists doch egal, es geht doch nur um das Hauptverzeichnis, oder?

Gruß,

Harlequin