Mit PHP auf eine htacces zugreifen

Hi |

Normalerweise funzt das mit dem Passwortschutz so, dass du in der .htaccess den Pfad zu einer .htpasswd angibst, wo dann die verschlüsselten Daten drin stehen. In der .htaccess selber sind normal keine verschlüsselten Daten drin.

Schau mal hier:
http://www.topsubmit.de/dienste/tools/htaccess-generator/

Da kannst du dir das, was du suchst, generieren lassen.

greez
JoSsiF

Also das ist echt nicht mein Problem!
Ich kann ne htacces und htpasswd generieren!
Nur wie kann ich nen PHP login erstellen der auf die Passwörter unf namen in der htacces bzw. htpasswd zugreift?

Schwierig.

Die Datei .htpasswd liegt ja meist in der Verzeichnisstruktur unterhalb der .htaccess, was dir ein einfaches Auslesen per Skript nicht gestattet. Wenn du allerdings nur eine .htpasswd hättest und keine .htacces die darauf verweist, würde es wohl gehen. In diesem Fall stellt sich dann allerdings die Sinnfrage

Wenn du's trotzdem probieren willst, dann achte darauf, dass die Passwörter immer mit dem selben salt verschlüsselt sind, damit du sie vergleichen kannst.

greez
JoSsiF

Das Decrypten des Passwort passiert anders.

Es wird  die Eingabe verschlüsselt nach dem selben
schema und dann verglichen ob das paßt. Das Schema
ist dabei ein One-Way-Crypt , also eine Checksumme,
wenn man so will, wie MD5 oder SHA1 .

Wenn man in PHP eine HT Accessabfrage machen will,
dann ist das ganz einfach, steht bei php.net .

Auf die .htpasswd greift bei einer htaccess abfrage eh nur der Webserver zu.

Ansonsten einfach ne Formularabfrage bauen, das ist..

- weniger Streß
- mehr Spaß
- mehr Möglichkeiten
- und es geht auch als gewrappte cgi version.

Denn htaccess geht nur als mod_php , weil php dann auf den Context des Apache zugreifen kann.
Die meisten Webanbieter haben das aber mittlerweise als CGI Version im Einsatz, weil das mod_php Sicherheitslücken Haus und Hof öffnet, es nicht
Resourcenlimitiert werden kann und weil es in der Prozesskontrolle als WWWRUN und nicht als UserScript läuft.

Hab nie was gegenteiliges behauptet

Klar, der Webserver ist prinzipiell der, der auf eine .htpasswd zugreift. Aber theoretisch(!) würde es gehen, per Skript auf eine Datei, die so heißt, zuzugreifen.

Mit dem Rest hast du natürlich vollkommen Recht. Würde in dem Fall auch auf eine selbstgebaute Login-Lösung setzen, das bringt einfach mehr Punkte.

Denke mal das Ansinnen von Eierbaer war einfach, dass vorhandene Nutzer-Passwort-Kombinationen genutzt werden können. Aber durch den Einsatz einer Eigenbaulösung könnte die .htacces/.htpasswd-Lösung ganz entfallen, was dann widerum den Verwaltungsaufwand auf das gewünschte Maß reduziert

greez
JoSsiF