Hallo Christian,

Ob das Passwort im Klartext oder base64-kodiert irgendwo in der Umgebung gesetzt ist, bleibt sich gleich.

Ich habe nochmal nachgelesen. Es gibt Basic Authentication in zwei Geschmacksrichtungen: Von PHP durchgeführt oder von "einem externen Mechanismus" durchgeführt. Also z.B. mit mod_auth_basic. Oder im IIS.

PHP.NET schreibt, dass bei Verwendung eines externen Mechanismus das Passwort nicht in $SERVER gespeichert wird, wenn denn safe_mode auf ON gesetzt ist. Das ist lustig, denn der Safe Mode ist in 5.3 deprecated und in 5.4 entfernt worden, mit dem Hinweis in den Release Notes, dass man sich jetzt auf andere Weise um Security bemühen müsse. PHP_AUTH* ist nur ein kleiner Teilaspekt davon. Da steht nur nicht, wie sich PHP ab 5.4 bei diesen Variablen verhält.

Frage wäre also erstmal, mit welcher PHP Version PL unterwegs ist und ob externe oder interne HTTP Authentication am Start ist.

Letztlich ist PHP_AUTH_PW aber nicht allein kriegsentscheidend, denn angeblich wird der Authenticate-Header, in dem das PW base64-codiert steht, auch nicht unbedingt ausgefiltert.

Rolf