Hallo,

eine Frage zum Thema Sicherheit:
Als Admin meiner Seite möchte ich ein paar PHP-Seiten haben, über die ich irgendwelche Verwaltungs-Sachen machen kann. Natürlich sollen diese für "normale" Benutzer nicht zugänglich sein. Wie erreicht man das am Besten?
Reicht es, diese Verwaltungs-Seiten in ein Verzeichnis mit htaccess-Schutz zu legen oder sollte man besser ein Einlogg/Session-System benutzen?

Danke,
Frank

Hallo,

solange du die .htaccess-Regeln richtig festlegst, sind die Seite gegen einen Zugriff über den Webserver geschützt.

Der Vorteil eines Session-bassierten Admin-Interfaces sind unter anderem:
- Die nahtlose Integration in das Aussehen der Seite
- Präzisere Rechteverwaltung (Benutzer A darf X, aber nicht Y)
- Einfachere Rechteverwaltung (Passwort ändern, Benutzer hinzufügen/löschen)
- Unabhängig vom Webserver (Apache, Lighttpd, etc.)

Wenn du die oben genannten Vorteile nicht brauchst, dann würde ich es mit .htaccess lösen

Gruß
BK

Hallo Bratkartoffel,

das sind in der Tat gute Argumente für das Session-System.
Danke für die Tipps!

Gruß,
Frank

Zitat von Bratkartoffel

- Einfachere Rechteverwaltung (Passwort ändern, Benutzer hinzufügen/löschen)

D.h. Dein Admin ist wie ein normaler Benutzer in der Datenbank!?
Ist das notwendig?
Ich würde einfach Admin-Name und -Passwort in Klartext in einer PHP-Datei hinterlegen. Damit könnte ich mich auch einloggen, wenn z.B. die Datenbank korrupt sein sollte.

Hallo,

Passwörter unverschlüselt speichern würde ich nur wenn es sich nicht vermeiden lässt und absolut notwendig ist!
Eine korrupte Datenbank ist eher der Ausnahmefall und wenns doch mal soweit ist, dann ist ein nicht möglicher Admin-Login wohl dein geringstes Problem Desweiteren hat man ja normalerweise regelmäßig Backups von den wichtigen Daten.

Gruß
BK

Hi Bratkartoffel,

das stimmt natürlich, dass ich bei korrupter DB ganz andere Sorgen habe.

Aber nochmal grundsätzlich wegen unverschlüsselter Passwörter:
Ich brauche das z.B. auch um die DB überhaupt zu öffnen. Dafür sind ja auch DB-User und PW als Klartext in einer PHP-Datei. - Oder lässt sich das irgendwie vermeiden!?

Gruß,
Frank

Hi,

das ist eine der wenigen Ausnahmen, die du machen kannst Es gäbe durchaus auch Möglichkeiten, die Passwörter nicht in Klartext oder gar nicht zu speichern was aber meistens einfach nur "Overkill" ist und der Aufwand / Nutzen - Faktor nicht gegeben ist

Gruß
BK

Zitat von Bratkartoffel

Hi,

das ist eine der wenigen Ausnahmen, die du machen kannst Es gäbe durchaus auch Möglichkeiten, die Passwörter nicht in Klartext oder gar nicht zu speichern was aber meistens einfach nur "Overkill" ist und der Aufwand / Nutzen - Faktor nicht gegeben ist

Gruß
BK

OK, das sehe ich auch so.

Meine Idee mit dem "Admin-nicht-in-der-DB" ist einfach die: Ich bin dann völlig unabhängig von der DB. D.h. ich kann alles machen incl. Backup, Restore, ...

Anmerkung: Man kann das Passwort (und auch den Admin-User-Namen) auch md5-Verschlüsselt in der PHP-Datei ablegen!

Danke erst mal,
Frank