Yerf!

Kann man das irgendwie manipulieren.
Anmelde Daten an ein Script zu schicken, dass gar keine Authentifizierung benötigt.

Natürlich kann man sich beliebige HTTP-Requests zusammenbauen, aber da ja in deinen Feldern sowohl Name als auch Passwort enthalten sind muss ein Angreifer auch beides kennen und dann kann er ja auch über die normale Anmeldung gehen und muss nicht mehr rumtricksen...

Wie HTTP-Requests zusammenbauen?
Sollte ich das Passwort nochmals über die Datenbank abfragen?
Dann müsste ich das PWD auf der DB hinterlegen obwohl es nur ein benutzer gibt :-/
Derzeit frage ich nur ob USER und PWD überhaupt gesetzt wurde..

Da fällt mir grad so ein Logikproblem ein: dann müsste ja jede .php prüfen ob Name und PWD stimmen,...

Ja allerdings :-o
Soviele Dateien sind es nicht :-)

Wobei noch die Frage ist, ob der Apache die Felder [PHP_AUTH_USER] und [PHP_AUTH_PW] ohne erfolgreichen Anmelde-Vorgang überhaupt füllt.

Nein, ohne erfolgreiche Anmeldung gibt es auch keine Felder!
Das waren zumindest meine Testergebnisse.

Vielleicht auch einfach den ganzen Knoten so lösen, dass in der geschützten login.php eine Session gestartet wird und darin ein Parameteter "Login = true" abgelegt wird. Der kann sicher nicht von außen beeinflusst werden und dann auf den Folgeseiten als Berechtigung abgefragt werden.

och nö net schon wieder sessions..
a) Ich mach einfach eine auth.inc.php
und Includiere Sie in die paar Dateien
b) wie bereits von dir erwähnt eine .sphp Endung über .htaccess Schützen
Frage zu b: Sicher das, dass noch eine gültige .php-Datei ist??
Würde *.secure.php auch gehen?

Ja ne,

Weil in dem config-Verzeichnis worüber man sich anmeledet auch der tinymce drin ist...
:-)

a) ich dachte der wäre rein JS?

Hab das teil so umgebaut, dass der erstellte Content auch direkt in die DB einspeist!

b) *im* Config-Verzeichnis ists doch egal, es geht doch nur um das Hauptverzeichnis, oder?

ja ne, Das Config-Verzeichnis ist das Verzeichnis das die Authentifizierung möglich macht und hier ist der TinyMce drin eingebaut der ja auch geschützt sein MUSS (Der ist dann komplett .htaccess geschützt)
»

Kalle