редактирование .htpasswd php-скриптом

[Foshvad]

Собственно говоря subj - стоит ли такое предусматривать.
Например авторизация на админке через .htpasswd и надо сменить пароль. На PHP, естветственно, это легко можно сделать. Вопрос лишь в том, а не дырочка ли это - разрешать запись в .htpasswd ?

[ThE0ReTiC]

Foshvad
Нет, не дырочка.
Паровозный тоннель размера примерно такого-же как тот, что под Ла-Маншем.
Если сильно надо иметь возможность сделать доступной функцию смены пароля на РНР то авторизуйся через базу, а не через веб-сервер. А выплывание диалогового окна бруозера подделай через посыл заголовка в кодом 401 при обращении к защищенной зоне.

[Foshvad]

Да через базу всякий сможет Но базу только ради авторизации заводить....

А почему, собсна туннель? Ведь чтоб записать бяку в .htpasswd надо знать что там (чтоб войти). А хулиган этого не знает.

И есть другие способы?

[ThE0ReTiC]

Foshvad

надо знать что там

Необязательно. Файл паролей в Апаче имеет стандартный вид. Нехороший человек жоет простто дописать туда свою информацию (логин/пароль) и преспокойно войти в защищенную зону.

И есть другие способы?

А зачем тебе его через скрипт редактировать?

[Foshvad]

ну как туда что-то можно записать?!
Директория-то защищена паролем через .htaccess;
То есть чтоб записать что-то в файл, расположенный в ней, надо а) чтоб были права на запись в этом файле
б) знать пароль к директории.

Можно, конечно внутренним php-скриптом, но так вообще все-то что угодно сделать можно, это уже сайт взломан. А если без этого?

[ThE0ReTiC]

Foshvad
Ну я обычно пользуюсь такой схемой:
.htpasswd у меня лежит вообще вне корня сайта (соответственно доступен только по ftp)
А дописывать инфу можно используя утилиту htpassw Через shell

[Foshvad]

Знаешь, сколько надо усилий, чтоб научить заказчика пользоваться утилитой htpassw через Shell ?!!!! )

[ThE0ReTiC]

Foshvad
Тогда не парься и сделай через базу.
Или бери с него денег за поддержу и делай сам.
Этож минутное дело.