Forum Webscript.Ru
Программирование => PHP => Тема начата: Foshvad от 07 Мая 2002, 17:02:37
-
Собственно говоря subj - стоит ли такое предусматривать.
Например авторизация на админке через .htpasswd и надо сменить пароль. На PHP, естветственно, это легко можно сделать. Вопрос лишь в том, а не дырочка ли это - разрешать запись в .htpasswd ?
-
Foshvad
Нет, не дырочка.
Паровозный тоннель размера примерно такого-же как тот, что под Ла-Маншем.
Если сильно надо иметь возможность сделать доступной функцию смены пароля на РНР то авторизуйся через базу, а не через веб-сервер. А выплывание диалогового окна бруозера подделай через посыл заголовка в кодом 401 при обращении к защищенной зоне.
-
Да через базу всякий сможет :) Но базу только ради авторизации заводить....
А почему, собсна туннель? Ведь чтоб записать бяку в .htpasswd надо знать что там (чтоб войти). А хулиган этого не знает.
И есть другие способы? :)
-
Foshvad
надо знать что там
Необязательно. Файл паролей в Апаче имеет стандартный вид. Нехороший человек жоет простто дописать туда свою информацию (логин/пароль) и преспокойно войти в защищенную зону.
И есть другие способы?
А зачем тебе его через скрипт редактировать?
-
ну как туда что-то можно записать?!
Директория-то защищена паролем через .htaccess;
То есть чтоб записать что-то в файл, расположенный в ней, надо а) чтоб были права на запись в этом файле
б) знать пароль к директории.
Можно, конечно внутренним php-скриптом, но так вообще все-то что угодно сделать можно, это уже сайт взломан. А если без этого?
-
Foshvad
Ну я обычно пользуюсь такой схемой:
.htpasswd у меня лежит вообще вне корня сайта (соответственно доступен только по ftp)
А дописывать инфу можно используя утилиту htpassw Через shell
-
Знаешь, сколько надо усилий, чтоб научить заказчика пользоваться утилитой htpassw через Shell ?!!!! :)))
-
Foshvad
Тогда не парься и сделай через базу.
Или бери с него денег за поддержу и делай сам.
Этож минутное дело. :)