---

Hejsa...

Jeg har lige et spørgsmål vedr. serverparametre. Man kan læse en brugers
adgangskode og brugernavn vha. $_SERVER[PHP_AUTH_USER] og 'PHP_AUTH_PW', men
jeg ville gerne vide om det er muligt at sætte parameterne uden at brugeren
selv indtaster dem. F.eks. når en bruger logger ind vha. en auth. side jeg
selv har programmeret. Grunden til det er, at browserens pop-up vindue giver
mulighed for at gemme sit password hvilket ikke er hensigten. Samtidig med
dette vil jeg stadig gerne have muligheden for at bruge .htaccess da
brugerne ikke bare skal kunne skrive den komplette URL til f.eks et
word-dokument på serveren, og derved undgå autentificeringen. Så hvis
brugerne logger ind via mit login-script, og jeg derefter sætter parameterne
i $_SERVER, kan de ikke gemme deres password.

Er der andre der har haft dette problem, vil jeg meget gerne høre fra jer
der har lavet noget ligende...

---

Beelze wrote:
> Jeg har lige et spørgsmål vedr. serverparametre. Man kan læse en brugers
> adgangskode og brugernavn vha. $_SERVER[PHP_AUTH_USER] og 'PHP_AUTH_PW', men
> jeg ville gerne vide om det er muligt at sætte parameterne uden at brugeren
> selv indtaster dem. F.eks. når en bruger logger ind vha. en auth. side jeg
> selv har programmeret. Grunden til det er, at browserens pop-up vindue giver
> mulighed for at gemme sit password hvilket ikke er hensigten. Samtidig med
> dette vil jeg stadig gerne have muligheden for at bruge .htaccess da
> brugerne ikke bare skal kunne skrive den komplette URL til f.eks et
> word-dokument på serveren, og derved undgå autentificeringen. Så hvis
> brugerne logger ind via mit login-script, og jeg derefter sætter parameterne
> i $_SERVER, kan de ikke gemme deres password.

..htaccess og PHP_AUTH_USER/_PW giver brugeren kontrol. Hvis han vælger
at hans browser skal huske det er der intet du kan gøre ved det.

Du kan udvikle dit eget loginsystem (med en HTML loginformular) og
stadig have lige så god sikkerhed.

Du kan eksempelvis udvikle en fil "auth.php" og inkludere den på alle
sider hvor man skal være logget ind. Siden kan se sådan ud:

<?php

   session_start();
   if (!$_SESSION['userid'])
   {
      header('location: /login.php?returnto=' .
urlencode($_SERVER['REQUEST_URI']));
      exit;
   }

?>

Og login.php viser så en login formular. Du kan sende brugeren videre
til den side han ville ind på ved at bruge en header-location på
$_GET['returnto']


--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
http://wshlman.moons.dk/ - Say goodbye to GameSpy
- A Free Half Life Manager!
To mail me remove your pants.

---

Ahhh... Fedt nok... Takker

"Larz" <lp@your-pants.coder.dk> skrev i en meddelelse
news:353g9.71684$ww6.4999035@news010.worldonline.dk...
> Beelze wrote:
> > Jeg har lige et spørgsmål vedr. serverparametre. Man kan læse en brugers
> > adgangskode og brugernavn vha. $_SERVER[PHP_AUTH_USER] og 'PHP_AUTH_PW',
men
> > jeg ville gerne vide om det er muligt at sætte parameterne uden at
brugeren
> > selv indtaster dem. F.eks. når en bruger logger ind vha. en auth. side
jeg
> > selv har programmeret. Grunden til det er, at browserens pop-up vindue
giver
> > mulighed for at gemme sit password hvilket ikke er hensigten. Samtidig
med
> > dette vil jeg stadig gerne have muligheden for at bruge .htaccess da
> > brugerne ikke bare skal kunne skrive den komplette URL til f.eks et
> > word-dokument på serveren, og derved undgå autentificeringen. Så hvis
> > brugerne logger ind via mit login-script, og jeg derefter sætter
parameterne
> > i $_SERVER, kan de ikke gemme deres password.
>
> .htaccess og PHP_AUTH_USER/_PW giver brugeren kontrol. Hvis han vælger
> at hans browser skal huske det er der intet du kan gøre ved det.
>
> Du kan udvikle dit eget loginsystem (med en HTML loginformular) og
> stadig have lige så god sikkerhed.
>
> Du kan eksempelvis udvikle en fil "auth.php" og inkludere den på alle
> sider hvor man skal være logget ind. Siden kan se sådan ud:
>
> <?php
>
> session_start();
> if (!$_SESSION['userid'])
> {
> header('location: /login.php?returnto=' .
> urlencode($_SERVER['REQUEST_URI']));
> exit;
> }
>
> ?>
>
> Og login.php viser så en login formular. Du kan sende brugeren videre
> til den side han ville ind på ved at bruge en header-location på
> $_GET['returnto']
>
>
> --
> -
> Lars
> http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
> http://wshlman.moons.dk/ - Say goodbye to GameSpy
> - A Free Half Life Manager!
> To mail me remove your pants.
>

---

"Larz" <lp@your-pants.coder.dk> skrev i en meddelelse
news:353g9.71684$ww6.4999035@news010.worldonline.dk...
> Beelze wrote:
> > Jeg har lige et spørgsmål vedr. serverparametre. Man kan læse en brugers
> > adgangskode og brugernavn vha. $_SERVER[PHP_AUTH_USER] og 'PHP_AUTH_PW',
men
> > jeg ville gerne vide om det er muligt at sætte parameterne uden at
brugeren
> > selv indtaster dem. F.eks. når en bruger logger ind vha. en auth. side
jeg
> > selv har programmeret. Grunden til det er, at browserens pop-up vindue
giver
> > mulighed for at gemme sit password hvilket ikke er hensigten. Samtidig
med
> > dette vil jeg stadig gerne have muligheden for at bruge .htaccess da
> > brugerne ikke bare skal kunne skrive den komplette URL til f.eks et
> > word-dokument på serveren, og derved undgå autentificeringen. Så hvis
> > brugerne logger ind via mit login-script, og jeg derefter sætter
parameterne
> > i $_SERVER, kan de ikke gemme deres password.
>
> .htaccess og PHP_AUTH_USER/_PW giver brugeren kontrol. Hvis han vælger
> at hans browser skal huske det er der intet du kan gøre ved det.
>
> Du kan udvikle dit eget loginsystem (med en HTML loginformular) og
> stadig have lige så god sikkerhed.
>
> Du kan eksempelvis udvikle en fil "auth.php" og inkludere den på alle
> sider hvor man skal være logget ind. Siden kan se sådan ud:
>
> <?php
>
> session_start();
> if (!$_SESSION['userid'])
> {
> header('location: /login.php?returnto=' .
> urlencode($_SERVER['REQUEST_URI']));
> exit;
> }
>
> ?>
>
> Og login.php viser så en login formular. Du kan sende brugeren videre
> til den side han ville ind på ved at bruge en header-location på
> $_GET['returnto']
>

Øhhh.... Jeg var vist lige hurtig nok der...
Mht. at lave en auth.php fil til at validere brugeren, og så include denne i
alle sider man skal være logget ind på, hjælper ikke i det øjeblik det er et
word eller excel dokument brugeren requester. F.eks.:
http://testsite.dk/_loggedin/_start/index.php
Her vil man kunne include auth.php og det vil virke, men ved
http://testsite.dk/_loggedin/_documents/myword.doc
kan man ikke gøre det, da det jo er et word dokument.

---

"Beelze" <johnni@jit-help.dk> skrev

> Mht. at lave en auth.php fil til at validere brugeren, og så include denne
i
> alle sider man skal være logget ind på, hjælper ikke i det øjeblik det er
et
> word eller excel dokument brugeren requester. F.eks.:
> http://testsite.dk/_loggedin/_start/index.php
> Her vil man kunne include auth.php og det vil virke, men ved
> http://testsite.dk/_loggedin/_documents/myword.doc
> kan man ikke gøre det, da det jo er et word dokument.

så requester du ikke en php fil og kan derfor ikke (lige*) bruge methoden.
htaccess er din ven her

* du kan lave en header, der spytter din .doc fil ud og så lægge doc filen
udenfor webscope

--
Take Care
Kim Emax - Freelance programmør - Pt. Job og opgavesøgende.
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

---

> Øhhh.... Jeg var vist lige hurtig nok der...
> Mht. at lave en auth.php fil til at validere brugeren, og så include denne
i
> alle sider man skal være logget ind på, hjælper ikke i det øjeblik det er
et
> word eller excel dokument brugeren requester. F.eks.:
> http://testsite.dk/_loggedin/_start/index.php
> Her vil man kunne include auth.php og det vil virke, men ved
> http://testsite.dk/_loggedin/_documents/myword.doc
> kan man ikke gøre det, da det jo er et word dokument.

Der kan man tilgengæld have sine word filer mm. uden for webscope og så
tilbyde dem igennem fx en fil der hedder download.php. Fx
http://testsite.dk/_loggedin/_documents/download.php?file=myword.doc

download.php kan man så beskytte.

se her: <http://www.zend.com/zend/trick/tricks-august-2001.php>

---

"Tinky Winky" <lksjdflkjzsdhflkajshrlkjaeshr@ksjdhskjdhfkshdfkshdf.com>
skrev i en meddelelse news:altfug$lhb$1@sunsite.dk...
> > Øhhh.... Jeg var vist lige hurtig nok der...
> > Mht. at lave en auth.php fil til at validere brugeren, og så include
denne
> i
> > alle sider man skal være logget ind på, hjælper ikke i det øjeblik det
er
> et
> > word eller excel dokument brugeren requester. F.eks.:
> > http://testsite.dk/_loggedin/_start/index.php
> > Her vil man kunne include auth.php og det vil virke, men ved
> > http://testsite.dk/_loggedin/_documents/myword.doc
> > kan man ikke gøre det, da det jo er et word dokument.
>
> Der kan man tilgengæld have sine word filer mm. uden for webscope og så
> tilbyde dem igennem fx en fil der hedder download.php. Fx
> http://testsite.dk/_loggedin/_documents/download.php?file=myword.doc
>
> download.php kan man så beskytte.
>
> se her: <http://www.zend.com/zend/trick/tricks-august-2001.php>
>
Selvfølgelig... Tak for linket. Lige det jeg skulle bruge... (hvorfor
tænkte jeg ikke på det??? Jeg har jo adgang til hele maskinen og ikke kun
htdocs)
Tror mit spørgsmål fortjener et DOOOGH!!!!!!