Hallo zusammen,

ich brauche mal eben einen Crack der mir einen Tipp gibt
Und zwar geht es um folgendes:

Ich habe eine PHP Datei (z.B. list.php). Darin wird ein phpMyAdmin-Link inkl. Benutzernamen und Passwort hinterlegt. Also Zugriff auf eine MySQL Datenbank.
Das ganze ist über eine passwortgeschützte Administration geschützt.
D.h. man muss sich erst einloggen.

Soweit so gut. ABER:

Falls man jetzt die Datei herunterladen würde (z.b. über WGET, CMD Befehl - sofern man natürlich den Dateinamen und Pfad/URL dazu kennt), zeigt es einem diese Zugangsdaten zum MySQL PHPmyAdmin fein säuberlich an. Also es besteht ein gewisses Sicherheitsloch. Ich hoffe ihr versteht was ich meine. Also wenn ein Hacker die Datei saugt, hat er die Daten. Das muss ich verhindern.

Wie kann ich das verhindern? Evtl. verschlüsseln? Intern, wenn man sich eingeloggt hat darf man die Daten sehen, sonst nicht. Die Daten werden statisch einfach so reingeschrieben (also die Zugangsdaten meine ich).

Danke schonmal

wget sieht nichts anderes als der Browser, also nicht den PHP-Code der Seite.
Und wenn man den Pfad raten kann und dann ohne Passwort an die Seite kommt laeuft gewaltig was schief, egal ob der Zugriff nun per wget oder einen normalen Browser erfolgt.

Und wie kann ich das optimieren?

Ich arbeite normalerweise mit einer index Datei, welches als MVC funktionierit und kontrolliert. Wenn man auf einen Link klickt, wird auch geprüft ob man schon eingeloggt ist. Wenn nicht, fällt man zurück auf die Login-Seite. Das klappt soweit.
Aber wenn man den Pfad direkt kennt, dann prüft er es nicht, weil er ja nicht über das index.php MVC-Controllingprinzip verläuft

Die Lösung lautet, du baust in die geschützte Seite eine Abfrage ein, ob der $_SERVER['HTTP_REFERER'] deiner MVC-Datei entspricht. Wenn nicht, wird mit header() zu der MVC-Datei umgeleitet. Das ist zwar ein totaler Graus, aber die schnellste und zuverlässigste Methode.

Wenn du schon MVC benutzt, warum baust du die geschützte Seite nicht einfach als Controller hinzu?

Ich hab mein Script erweitert und das Problem soweit gelöst... wie du/ihr geschrieben habt verweist er jetzt - bei nicht eingeloggtem Zustand - direkt auf den MVC bzw. die Startseite (Loginpage) zurück.

Problem und Fall gelöst denke ich mal *daumen hoch*

Sonst melde ich mich wieder. Danke soweit

Dann bitte den Thread als Erledigt markieren. Danke.