Author Topic: [MOD] .htaccess für den Adminbereich  (Read 10141 times)

0 Members and 1 Guest are viewing this topic.

Offline Jan-Lukas

  • Addicted member
  • ******
  • Posts: 1.289
    • View Profile
    • Discover the New World of Kindersurprise
[MOD] .htaccess für den Adminbereich
« on: July 18, 2009, 01:14:55 AM »
Habe hier schon öfters gelesen, das es Probleme mit der  .htaccess Datei gibt, das diese nicht überall unterstützt wird.
Habe darum das ganze direkt in die admin/Index.php eingebaut.

Dies ist eine zusätzliche Absicherung des Adminbereiches



finde in der /admin/Index.php
require('admin_global.php'); 

und füge davor dieses ein, die *** sind mit dem Benutzername und Passwort zu ergänzen.


//.htaccess_area Anfang
$user = array(
 
// "Benutzername" => "Passwort",
    
"****" => "****",  
); 

// Name des Bereiches
$htaccess_area $config['site_name']." Adminbereich";

if(!isset(
$_SERVER['PHP_AUTH_USER']) ||  
   !
array_key_exists($_SERVER['PHP_AUTH_USER'], $user) ||  
   
$user[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) { 
   
Header('HTTP/1.1 401 Unauthorized');
   
Header("WWW-Authenticate: Basic realm=".$htaccess_area);
   echo 
"Kein Zutritt zum Adminbereich vom ".$config['site_name']."!"

//.htaccess_area Ende


LG Harald

edit:

wer mehrere Benutzer eingeben möchte, kann das so lösen

"Benutzer 1" => "Pass 1"Benutzer 2" => "Pass 2" usw.

« Last Edit: July 18, 2009, 03:37:28 PM by Jan-Lukas »
Danke Harald




rinaldos

  • Guest
Re: [MOD] .htaccess für den Adminbereich
« Reply #1 on: July 18, 2009, 08:55:56 AM »
Guten Morgen,
Du hast sicherlich nachts auch nichts zutun, wenn ich mir die Uhrzeit deines POSTS anschaue. :-)
Ich habe mal deine Zeilen bei mir eingesetzt. Bei mir erhalte ich erst nach einem erfolgreichen LOGIN  die Abfrage nach Benutzername und Passwort aus Deinem MOD.
Bei der richtigen .htaccess kommt vorher die Abfrage nach Benutzername und Passwort. Ich hatte schon gedacht das ganze klappt so nicht. Ich würde es dazu schreiben, das dies eine zusätzliche Absicherung für den Adminbereich ist!
Gibt es denn Provider die .htaccess Dateien nicht unterstützen?

LG
Ingo

Offline Jan-Lukas

  • Addicted member
  • ******
  • Posts: 1.289
    • View Profile
    • Discover the New World of Kindersurprise
Re: [MOD] .htaccess für den Adminbereich
« Reply #2 on: July 18, 2009, 10:52:49 AM »
Quote
Gibt es denn Provider die .htaccess Dateien nicht unterstützen?

Ob nun das der Grund ist, oder das einige nicht wissen wie man, und wo man es macht, keine Ahnung  :wink:
Aber so ist es für jeden schnell zu erstellen.

Quote
Bei der richtigen .htaccess kommt vorher die Abfrage nach Benutzername und Passwort

wo müsste der Code denn hin, das die Abfrage vor dem Login kommt  :?:

Wir nutzen das in meinem Portal schon einige Zeit als doppelte Absicherung, hab es dann für 4 Images neu angepasst.
Bei uns bekomme ich noch eine Mail mit dem Hinweis, das jemand versucht hat reinzukommen, könntest Du das evtl anpassen ??
ich sende dir den Code mal via IM

LG

Edit: OK, keine IM  :wink:
evtl. kann da einer etwas raus basteln

LG



 
// E-Mail senden
   
$htaccess_email_send 1// 1 = senden ; 0 = nicht senden
   
if($htaccess_email_send == AND trim($_SERVER['PHP_AUTH_USER']) != "") {
	
	
$htaccess_absender $config['site_email'];
	
	
$htaccess_title "Fehlerhaftes einloggen im .htaccess Schutz des  Adminbereich";
	
	
$htaccess_message "Fehlerhaftes einloggen im .htaccess Schutz des  Adminbereich!

	
	
Es wurde soeben festgestellt, dass sich jemand Zugriff auf den Adminbereich verschaffen wollte.
	
	
Diese Person hat mindestens 3 Mal das Passwort für den Adminbereich falsch eingegeben.


	
	
Nähere Benutzerdaten:

	
	
Zeit: "
.date('d.m.Y - H:i:s',time())."

	
	
IP-Adresse: "
.$_SERVER['REMOTE_ADDR']."
	
	
Browser: "
.$_SERVER['HTTP_USER_AGENT']."
	
	
Referer: "
.$_SERVER['HTTP_REFERER']."
	
	
Aufgerufene URL: "
.$_SERVER['REQUEST_URI']."

	
	
Benutzername: "
.$USER['name']."
	
	
"
;
	
	
$htaccess_header "FROM: ".$config['site_name']." <".$config['site_email'].">";

	
	
mailsender($htaccess_absender,$htaccess_title,$htaccess_message,$htaccess_header);
   }
   
// E-Mail senden



Danke Harald




rinaldos

  • Guest
Re: [MOD] .htaccess für den Adminbereich
« Reply #3 on: July 18, 2009, 12:38:05 PM »
@Jan-Lukas

Habe so das ein oder andere ausprobiert. Die Emails werden auch brav zugesandt, aber ein Effekt ala .htaccess konnte ich leider nicht erzielen. Vielleicht finde ich ja irgendwann einmal über GOOGLE etwas brauchbares was wir hier ggf einsetzen können. Aber ich empfehle nach wie vor, einen Einsatz einer .htaccess Datei. Vorteile sind eben, das die Passwörter ausserhalb des WWW liegen. Also nicht im Zugriffsbereich eines Webservers / Hacker der über das WEB versucht einzudringen.

Gruß
Ingo

Offline Jan-Lukas

  • Addicted member
  • ******
  • Posts: 1.289
    • View Profile
    • Discover the New World of Kindersurprise
Re: [MOD] .htaccess für den Adminbereich
« Reply #4 on: July 18, 2009, 03:16:47 PM »
wo müsste der Code denn hin, das die Abfrage vor dem Login kommt  :?:

wenn man den Adminbereich direkt aufruft, kann man den Code vor dem require('admin_global.php'); setzen, dann kommt erst die .htaccess Abfrage, dann erst das 4images Login.
Wenn man natürlich schon eingeloggt ist, dann erst an zweiter Stelle.
Bei meiner anderen Seite, ist es immer an erster Stelle, weil man sich fürs Admin generell neu einloggen muss, und mit dem normalen Login nicht reinkommt.

da gibt es im Admin eine Abfrage, die muss man aktivieren, oder deaktivieren (wäre evtl. auch für lösbar)

Quote
Automatische Administrationsanmeldung
Aktivieren Sie die automatische Anmeldung nur wenn Sie den Adminbereich auf anderem Wege schützen, z.B. unter Verwendung einer .htaccess-Datei.
Danke Harald




rinaldos

  • Guest
Re: [MOD] .htaccess für den Adminbereich
« Reply #5 on: July 18, 2009, 03:31:21 PM »
Das funktioniert einwandfrei, wenn man das VOR

require('admin_global.php'); 

setzt. Diese sieht auf dem ersten Blick wie die Absicherung einer .htaccess Datei aus. Danke für diese Sinnvolle Ergänzung zum Absichern des ADMIN Bereiches .....
Gruß
Ingo

Offline Jan-Lukas

  • Addicted member
  • ******
  • Posts: 1.289
    • View Profile
    • Discover the New World of Kindersurprise
Re: [MOD] .htaccess für den Adminbereich
« Reply #6 on: July 18, 2009, 03:38:00 PM »
hab es oben geändert

LG
Danke Harald