.htaccess Problem mit PHP

eit062 · March 5, 2009, 11:04pm

Hallo,

hab folgendes Problem:

Ich habe einen Ordner “test”, den ich mit .htaccess folgendermaßen schützen möchte:

Datei .htaccess im Ordner “test”

AuthType Basic
AuthName "test"
AuthUserFile /users/eit062/www/test/.htpasswd
require valid-user

Datei .htpasswd im Ordner “test”

123:vTnytXqKICZG2

So, dass man nur mit dem Benutzernamen “123” und dem Passwort “123” Zugriff erhält.

Im Ordner Test sind jetzt noch 3 Dateien: test.php, test2.php und bild.jpg.
Wenn ich nun eit062.bplaced.net/test/test.php aufrufe wird ganz normal wie gewünscht nach dem Benutzernamen und dem Passwort gefragt.

Wenn ich nun aber die Datei eit062.bplaced.net/aufruf.php aufrufe dann wird mir der Inhalt der Datei eit062.bplaced.net/test/test.php ohne Nachfrage Benutzername/Passwort offenbart.

aufruf.php enthält nur:

<?php include("test/test.php"); ?>

/test/test.php enthält:

test

Wenn ich nun eit062.bplaced.net/aufruf2.php welche <?php include("test/test2.php");?> enthält dann wird wieder der Inhalt sichtbar ohne Abfrage bis auf das Bild, welches verweist ist - dieses erscheint nur nach richtiger Eingabe von Benutzer/Passwort.

test/test2.php enthält:

test

Woran liegt das und kann man irgendwie erreichen das der Inhalt, wenn er über php aus einem geschützten Ordner gelesen wird nicht ohne Abfrage gezeigt wird?

Für Hilfe wäre ich sehr dankbar!

Mit freundlichen Grüßen

eit062

chrisb · March 5, 2009, 11:45pm

Daran, dass ein Zugriff ueber HTTP und einer ueber das lokale Dateisystem zwei ganz verschiedene Dinge sind.
Und HTTP Auth wirkt nun mal nur auf HTTP-Ebene.

Nicht, wenn man ueber das Dateisystem mit PHP auf die Dateien zugreift.

jw-lighting · March 6, 2009, 6:12pm

Du musst verhindern, das diese Datei includet wird, wenn kein Passwort eingegeben wurde:

if(!empty($_SERVER['PHP_AUTH_USER']) && !empty($_SERVER['PHP_AUTH_PW'])){
include "test/test.php";
}