Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Anstatt für jede Neue Funktion im System eine neue Datei anzulegen, will ich nur noch eine index.php, in der die session gestartet/geprüft wird, verwenden. Die ganzen anderen werden einfach nach Abfrage von $_GET entsprechend in index.php includet.
Nun tritt natürlich ein Sicherheitsproblem auf: Ich kann nun die versch. funktion.inc.php per URL aufrufen ohne mich eingeloggt zu haben...
Wie soll ich das jetzt lösen?
Verzeichnis per .htaccess sichern,
session-Start/Überprüfung nur in den includes,
session-Start/Überprüfung sowohl in den includes, als auch in der index.php,
session-Start/Überprüfung in einem eigenen include, welches in JEDER Datei per require_once eingebunden wird,
mein Ansatz ist Bullshit.
Sicherhreitstechnisch bin ich noch nicht so bewandert...
Hoffe ihr könnt mir hier weiterhelfen
php muss in dem Fall gar nichts beziehen.
Es geht nur darum, dass die includes nicht einfach über URL-Manipulation angezeigt werden können, d.h. dass man das include Verzeichnis per .htaccess schützt.
Auf die Includes darf nur von der index.php zugegriffen werden, nach dem session gestartet wurde etc.
Allerdings mag ich diese Lösung überhaupt nicht... Will lieber alles mit php machen.
Dann müssen die includes auch eigentlich nicht in einem von Apache ins Web gestelltem Verzeichniss sein. Kopier sie doch einfach sonstwohin auf die Platte.
aha, ok, also in jede Datei die session-prüfung...
Wo startest du die Session? In der index.php oder in den Includes?
Weil, mehr als einmal kann man die session ja nicht starten oder?
Die Session wird nur einmal in der index gestartet.
du bindest dann alles über diese index.php ein.
Ein Script das direkt aufgreufen wird , hat keine Session und wird somit nichts ausgeben da sieht man dan gar nichts sondern wird direkt wieder an den anfang befördert dank dem meta refresh.
Nun, das hängt von der Art der Implementierung ab.
PHP:
if (eregi("blabla.php", $_SERVER['PHP_SELF'])) die([...]);
hier wird abgebrochen, sollte 'blabla.php' in der URL sein. blabla.php muss hier die zu schützende Datei sein. Ist meines Erachtens nicht gleich sicher, wie untere Methode.
PHP:
if (!eregi("blabla.php", $_SERVER['PHP_SELF'])) die([...]);
hier wird abgebrochen, sollte 'blabla.php' NICHT in der URl sein. So war das in meinem Post auch bewusst angegeben.
blabla.php ist hier die Datei, über die zu schützende Datei eingebunden wird.
Problem mit SESSION: Hi,
ich möchte gerne Sessions verwenden und habe dazu eine datei zum login generiert, die den benutzernamen und das passwort an eine datei sendet, welche...
Problem mit Apache2 + MySQL Server: Guten Mittag allen zusammen,
ich möchte nun in ein Forum nachfragen bezüglich meines Problemes da ich leider derzeit einen Freund (der mir bisher oft bei...
CGI laesst sich nicht ausfuehren: Hallo zusammen,
nach langem googlen hab ich noch immer keine Loesung.
Wenn ich versuche CGIs ueber den Browser auszufuehren erhalte ich "500 Internal...