"Larz" <lp@your-pants.coder.dk> skrev i en meddelelse
news:353g9.71684$ww6.4999035@news010.worldonline.dk...
> Beelze wrote:
> > Jeg har lige et spørgsmål vedr. serverparametre. Man kan læse en brugers
> > adgangskode og brugernavn vha. $_SERVER[PHP_AUTH_USER] og 'PHP_AUTH_PW',
men
> > jeg ville gerne vide om det er muligt at sætte parameterne uden at
brugeren
> > selv indtaster dem. F.eks. når en bruger logger ind vha. en auth. side
jeg
> > selv har programmeret. Grunden til det er, at browserens pop-up vindue
giver
> > mulighed for at gemme sit password hvilket ikke er hensigten. Samtidig
med
> > dette vil jeg stadig gerne have muligheden for at bruge .htaccess da
> > brugerne ikke bare skal kunne skrive den komplette URL til f.eks et
> > word-dokument på serveren, og derved undgå autentificeringen. Så hvis
> > brugerne logger ind via mit login-script, og jeg derefter sætter
parameterne
> > i $_SERVER, kan de ikke gemme deres password.
>
> .htaccess og PHP_AUTH_USER/_PW giver brugeren kontrol. Hvis han vælger
> at hans browser skal huske det er der intet du kan gøre ved det.
>
> Du kan udvikle dit eget loginsystem (med en HTML loginformular) og
> stadig have lige så god sikkerhed.
>
> Du kan eksempelvis udvikle en fil "auth.php" og inkludere den på alle
> sider hvor man skal være logget ind. Siden kan se sådan ud:
>
> <?php
>
> session_start();
> if (!$_SESSION['userid'])
> {
> header('location: /login.php?returnto=' .
> urlencode($_SERVER['REQUEST_URI']));
> exit;
> }
>
> ?>
>
> Og login.php viser så en login formular. Du kan sende brugeren videre
> til den side han ville ind på ved at bruge en header-location på
> $_GET['returnto']
>
Øhhh.... Jeg var vist lige hurtig nok der...
Mht. at lave en auth.php fil til at validere brugeren, og så include denne i
alle sider man skal være logget ind på, hjælper ikke i det øjeblik det er et
word eller excel dokument brugeren requester. F.eks.:
http://testsite.dk/_loggedin/_start/index.php
Her vil man kunne include auth.php og det vil virke, men ved
http://testsite.dk/_loggedin/_documents/myword.doc
kan man ikke gøre det, da det jo er et word dokument.