PHP: Direkten Zugriff auf Seite verhindern?

Moin zusammen,

ich will einen direkten Zugriff auf meine home.php verhindern bzw. man soll nur über die login.php Zugriff darauf bekommen. Ich weiß, dass man dazu Cookies bzw. Session-Cookies verwenden kann. Aber gibt es da noch andere Wege?

1 Antwort

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Webentwicklung

24.04.2021, 13:40

Ich weiß, dass man dazu Cookies

Nein.

bzw. Session-Cookies

Ja.

Aber gibt es da noch andere Wege?

Wenn ist nicht sicherheitsrelevant ist, bietet sich Folgendes an. Du schreibst Die login.php z. B. so:

<form action="home.php" method="post">
<input type="submit" name="login" value="login">
</form>

die erste Zeile in der home.php lautet

<?php
if(!isset($_POST['login'])) {
  header("Location: login.php");
  exit;
}
?>

Dann lässt sich die home.php nur dann aufrufen, wenn die Variable $_POST['login'] gesetzt ist. Das ist aber nicht annähernd sicher. Für ein sicheres Verfahren müssten weitere Daten (zum Beispiel Benutzername und Passwort) überprüft werden.

Alex

Computerneu1357

Fragesteller

24.04.2021, 14:11

Danke für die Antwort. Ich habe auf der login.php bereits eine Passwort-Abfrage mit einer Datenbank dahinter laufen, mit verschlüsselten Passwörtern (Hash+Salt), die bei einem Treffer in der Datenbank per header auf die home.php weiterleitet. Da ich einen direkten Zugriff auf home.php (ohne vorher auf der login-Seite gewesen zu sein) verhindern will, komme ich dann wohl nicht um Session-Cookies rum. *Seufz*

EinAlexander

24.04.2021, 15:59

@Computerneu1357

die bei einem Treffer in der Datenbank per header auf die home.php weiterleitet.

Das ist das falsche Vorgehen. Besser ist, Du kontrollierst User und PW erst auf der home.php und lieferst für dann die Seite aus, wenn User und Passwort zusammenpassen.

Dafür kannst Du $_POST Variablen verwenden. Das ist sicher

In einer Session habe ich Zugriff auf einen mit Passwort geschützen Bereich. Von dort greife ich auf einen Ordner mit Bildern und pfd-Dateien zu.

Jetzt möchte ich verhindern, das ein direkter Zugriff auf diese Dateien möglich ist, wenn man nicht eingeloggt ist.

Es soll nicht möglich sein, ohne eingeloggt (in der session) zu sein, ein Bild direkt aufzurufen. Z.B. durch Eingabe von: http://meineSeite.php/Ordner/Bilddatei.jpg

Würde mich über eure Hilfe freuen.

...zur Frage

iPad 4 Aktivierungssperre umgehen?

Hallo, ich habe ein iPad 4 mit Aktivierungssperre, sodass ich also keinen direkten Zugriff mehr darauf habe. Auch habe ich keinen Zugriff mehr auf Apple-ID und Passwort. Mit welchem passenden Jailbreak-Tool kann ich diese umgehen?

...zur Frage

PHP Session nicht automatisch beenden?

Moin moin, ich bin gerade am Bau einer Website. Nun kann man sich bei mir registrieren und einloggen. Allerdings wird, wenn man die Seite schließt und nach paar minuten wieder öffnet, automatisch abgemeldet. Also die Session wurde automatisch beendet. Wie kann ich es nun so machen, dass die session dauerhaft bestehen bleibt, ohne dass ich z.B. beim Login Formular die Option "eingeloggt bleiben" hinzufügen muss?

Ich bedanke mich schon mal im Voraus

...zur Frage

Weiterleitung nach erstem Login?

Guten Tag und frohe Weihnachten. Meine Frage: ich habe vor ein paar Tagen schon einmal von einer Personengrenze in PHP gesprochen. Jedoch bin ich mit meinem Latein am Ende, da ich eher front-end Entwickler bin. Hätte vielleicht jemand einen Code-schnipsel mit dem ich nach einem Login ein timeout setze dass sich für 30 Sekunden niemand anmelden kann? Sollte dann logischerweise auf eine andere Seite weitergeleitet werden für Load-balance.
login:

<?php
include "config.php";

if(isset($_POST['but_submit'])){

    $uname = mysqli_real_escape_string($con,$_POST['txt_uname']);
    $password = mysqli_real_escape_string($con,$_POST['txt_pwd']);

    if ($uname != "" && $password != ""){

        $sql_query = "select count(*) as cntUser from users where username='".$uname."' and password='".$password."'";
        $result = mysqli_query($con,$sql_query);
        $row = mysqli_fetch_array($result);

        $count = $row['cntUser'];

        if($count > 0){
            $_SESSION['uname'] = $uname;
            header('Location: show.php');
        }else{
            echo "Falscher PIN-Code. Bitte versuche es nocheinmal oder lass es.";
        }

    }

}
?>

Crypt Seite:

 <?php
include "config.php";
$timeout = 10;

//Set the maxlifetime of the session

ini_set( "session.gc_maxlifetime", $timeout );

//Set the cookie lifetime of the session

ini_set( "session.cookie_lifetime", $timeout );

// Check user login or not
if(!isset($_SESSION['uname'])){
    header('Location: login.php');
}

// logout
if(isset($_POST['but_logout'])){
    session_destroy();
    header('Location: login.php');
}
session_start();

//Set the default session name

$s_name = session_name();


//Check the session exists or not

if(isset( $_COOKIE[ $s_name ] )) {



    setcookie( $s_name, $_COOKIE[ $s_name ], time() + $timeout, '/' );


}

else

    header("Location: login.php");

?>

...zur Frage

Webserver - Zugriff auf Skript verhindern?

Hallo zusammen,

ein Freund und ich haben momentan eine kleines Projekt am Laufen. Wir möchten eine Webseite programmieren. Ein Sache nervt mich aber und ich weiß nicht wie ich das verhindern kann.

Wie kann man verhindern, dass man jegliche HTML sowie PHP Datei über die Suchleiste aufrufen kann. Ich möchte ja, dass bestimmte Skripte nur aufgerufen werden können, wenn es von Programmcode so definiert wird.

Sorry, wenn ich mich etwas undeutlich ausdrück, bin auch kein Profi. Bei weiteren Fragen, gerne Fragen.

Danke

...zur Frage

Wieso ist PHP schlecht?

Hi zusammen,

Ich befasse mich in den letzten Wochen etwas mehr mit PHP - Uni-Bedingt. Auf der Suche nach einem geeigneten Thema zu PHP bin ich darauf gestoßen, dass es auch durchaus Kritik an PHP gibt. Des Weiteren hatte ich im Internet eine Grafik gefunden, aus der ersichtlich wurde, dass die großen Tech-Giganten sogut wie kein PHP nutzen. Wieso ist das so? PHP muss ja ziemlich unbeliebt sein, wenn die großen Firmen sich dagegen entscheiden.

Könntet ihr mir vielleicht sagen, was gegen PHP spricht? Hab da sehr wenig Erfahrung. Wieso sollte man diese Sprache nicht verwenden?

Schreibt gerne ausführlich und - wenn möglich - leicht verständlich, da ich noch Neuling in PHP bin:)

Danke schonmal:)

...zur Frage

Mail-function PHP funktioniert nicht mehr?

Ich habe vor ca. 1 Woche eine Funktion auf meiner website geschrieben mit der man mir Mails senden kann. Diese kommen aber nicht mehr an. Ohne dass ich etwas geändert habe funktioniert es nicht mehr. Folgendes ist der Code:

testmail.inc.php:
<?php

$msg = <<<String content here String;

$header = 'From: webmaster@example.com' . "\r\n" .     'Reply-To: webmaster@example.com' . "\r\n" .     'X-Mailer: PHP/' . phpversion();

mail("", "test message", $msg, $header);
header('Location: ../home.php?message%20sent');

Natürlich habe ich das erste Feld in der Funktion ausgefüllt, aber ich möchte meine E-Mail Adresse nicht zeigen.

Vor ca. 5 Tagen hat das alles noch funktioniert. Kann mir wer helfen?

Hier ist die Website

Ps: Bitte nehmt die Cookies nicht an. Danke ;)

...zur Frage

PHP session funktioniert nicht in Safari?

Hallo zusammen,

ich habe auf meiner Website ein Loginformular und verwende eine Session, um auf allen Seiten eingeloggt zu bleiben.

Dies funktioniert auch auf dem PC und auf Android-Geräten ohne Probleme, sobald ich allerdings Safari auf einem iOS oder Mac Gerät verwende, werden die Variablen nicht übergeben und die Nutzer können die Seite nicht verwenden, da sie sich in einer Endlosschleife befinden, da sie so immer wieder auf die Loginseite weitergeleitet werden.

Die Session starte ich ganz normal mit:

session_start();

Variablen übergebe / übernehme ich mit:

$_SESSION['ak'] = $ak;
$ak = $_SESSION['ak'];

Und beim Logout verwende ich:

session_start();
session_destroy();

Ich weiß nicht, an was das liegt, da wie gesagt auf allen anderen Plattformen die Seite ohne Probleme läuft. Muss ich da noch etwas hinzufügen, damit es auch unter Safari funktioniert oder wisst ihr, wie ich das Problem lösen kann?

Danke im Voraus und einen schönen Sonntag,

pst0042

...zur Frage

Bilder werden wegen htaccess nicht angezeigt?

Moin zusammen,

ich habe alle Bilder auf einer Subdomain (bspw. img.example.com) in einem geschützten Verzeichnis. Nun möchte ich diese auf einer anderen Seite (bspw. example.com/index.php) anzeigen. Allerdings werden die Bilder nicht angezeigt, weil ich selbst keinen Zugriff auf das geschützte Verzeichnis habe.

In der index.php bspw. so:

<img src="http://img.example.com/1.png">

Gibt es eine Möglichkeit die Login Credentials für das Verzeichnis mit zu übergeben, sodass die Bilder geladen werden können? Oder wie stelle ich das richtig an? Geht das vielleicht mit PHP?

MfG

...zur Frage

PHP dynamisch mit unterschiedlichen Datenbanken verbinden?

Hallo!

Folgende Situation:

Es gibt mehrere Datenbanken. Eine für alle Installationen meines Projektes (beinhaltet Zugangsdaten für Schul-DB's) und dann weitere, schulspezifische Datenbanken, in denen jeweils andere Dinge stehen (wie zum Beispiel Schüler mit ihren Logindaten, etc.)

Der Benutzer ruft also eine Loginseite auf und gibt eine Schul-ID ein. Nach Buttonklick wird die an ein PHP-Skript übergeben, welche dann aus der Datenbank aller Instanzen die entsprechenden Zugangsdaten für die schulspezifische Datenbank ausliest (anhand der Schul-ID).

Anschließend sollen diese als Variable gesetzt werden, sodass von überall in diesem Skript darauf zugegriffen werden kann. Dabei soll das Ganze allerdings nur für diese Session ersetzt werden und nicht in der Datei. Sodass andere Schüler andere Schul-ID's und damit auch andere Schul-DB's verwenden können.

Wenn der Benutzer dann auf der Loginseite seinen Benutzernamen und sein Passwort eingibt, wird dieses wieder an das PHP-Skript übergeben, welches nun in der schulspezifischen DB nachschaut, ob dort der entsprechende Nutzer existiert.

Folgendes Schema habe ich bis jetzt:

class DB {
  private static $_api_username = "root";
  private static $_api_password = "";
  private static $_api_host = "localhost";
  private static $_api_name = "programmingnow_host";
  private static $_api;

  private static $_db_username = $_SESSION['school_db_user'];
  private static $_db_password = $_SESSION['school_db_pass'];
  private static $_db_host = "localhost";
  private static $_db_name = $_SESSION['school_db_name'];
  private static $_db;

  function __construct() {
    try {
      self::$_api = new PDO("mysql:host=" . self::$_api_host . ";dbname=" . self::$_api_name . ";charset=utf8mb4",  self::$_api_username , self::$_api_password);

      if (isset($_SESSION['school_db_name'])) {
        self::$_db = new PDO("mysql:host=" . self::$_db_host . ";dbname=" . self::$_db_name . ";charset=utf8mb4",  self::$_db_username , self::$_db_password);
      }
    }
    catch(PDOException $e) {
      echo "Datenbankverbindung gescheitert!";
      die();
    }
  }
  
  function connectToSchoolDB($school_id) {
    $stmt = self::$_api->prepare("SELECT instance_db_name, instance_db_user, instance_db_pass FROM instances WHERE instance_key=:instance_key");
    $stmt->bindParam(":instance_key", $school_id);
    $stmt->execute();
    $result = $stmt->fetch();
    $result['instance_db_name'] = $_SESSION['school_db_name'];
    $result['instance_db_user'] = $_SESSION['school_db_user'];
    $result['instance_db_pass'] = $_SESSION['school_db_pass'];
  }

  [..] // Der ganze Rest an Funktionen (wie Login)
}

Der obige Code funktioniert aber nicht.

Könnt ihr mir da helfen? Wie kann ich das realisieren bzw. wo liegt der Fehler?

Danke schon einmal im Voraus!

VG!

...zur Frage

Inkognito Modus/Privates Surfen (Chrome), wird auf schon vorhandene Cookies und Webdaten zugegriffen?

Moin,

dass im Inkognito Fenster der Verlauf nicht aufgezeichnet wird und das Cookies und Websitedaten nach dem Schließen des Fensters gelöscht werden, weiß ich.

Aber wenn ich im normalen Chrome schon Cookies und Websitedaten zu z.B. einer Website habe, dann ein Inkognito Fenster öffne, wird dann darauf zugegriffen bzw. sind die Cookies/Websitedaten dann für die Website sichtbar?

Oder ist ein Inkognito Fenster komplett intern und in sich geschlossen?

...zur Frage

IP-Adresse von Benutzer meiner Website speichern?

Ich habe für meine Website einen Login-Bereich erstellt. Weil ich nicht auf Cookies zurückgreifen möchte habe ich die Anmeldedaten mit einer PHP Session gespeichert. Jetzt kann man sich zwar abmelden, wodurch die Session gelöscht wird. Allerdings habe ich gelesen, das wenn man auf einen geposteten Link klickt, die Session mit weitergegeben wird, und so jemand anderes auf das Profil des Users zugreifen kann.

Also habe ich zusätzlich die IP_Adresse des Users in der Session gespeichert, sodass man sich, wenn die IP-Adresse geändert hat, erneut anmelden muss.

Nun zu meiner Frage:

Darf man die IP-Adresse des Users in der Session speichern, wenn man sowas wie

Wenn sie sich anmelden, wird ihre IP-Adresse gespeichert. Durch das abmelden, wird diese wieder gelöscht. Der Websitebetreiber kann diese nicht einsehen.

In die Datenschutzerklärung schreibt?

Danke im Vorraus, habe echt Angst was falsch zu machen,

Bohne47

...zur Frage

PHP auf xampp funktioniert die Webseite auf 1und1 (ionos.de) funktioniert die Webseite nicht mehr?

Hallo, ich habe eine .php Webseite erstellt. Die Funktion habe ich immer mit Xampp überprüft. Soweit war diese dann auch fertig und vollkommen funktionsfähig. Jetzt habe ich diese auf 1und1 (ionos.de) in meinen Webspace geladen. Dort nutze ich die selbe php version welche ich bei xampp genutzt habe.
Beim ersten Test der Seite soweit auch gut. Alles wurde richtig angeziegt und schien zu funktionieren.

Beim weiteren Test aber musste ich feststellen, dass ich keine cookies setzen kann. Ich bekomme keine zurückgegeben. Offline hat das aber immer funktioniert.

So:

setcookie ("username", $auth->account['username'], time()+28800);

Jetzt bekomme ich immer folgenden Fehler:

Warning: Cannot modify header information - headers already sent by (output started at /homepages/2/d785807995/htdocs/page/login.php:1) in /homepages/2/d785807995/htdocs/page/login.php on line 101

Auch wenn ich versuche den gesetzten Cookie auszulesen... Ohne Erfolg. Offline in Xampp kein Problem.

auch

header('Location: /page/suche.php');

funktioniert nicht mehr. Hier bekomme ich dann:

Warning: Cannot modify header information - headers already sent by (output started at /homepages/2/d785807995/htdocs/page/login.php:1) in /homepages/2/d785807995/htdocs/page/login.php on line 105

Warum kann ich das nicht so lassen wie ich es bisher hatte? Warum hat das mit Xampp auf dem rechner funktioniert aber auf dem Server nicht mehr? Hat jemand bitte einen Rat für mich?

Keine Hilfe war für mich:

https://stackoverflow.com/questions/8028957/how-to-fix-headers-already-sent-error-in-php/8028987

Beste Grüße aus Karlsruhe

...zur Frage

Root-Server - Keine Verbindung mehr (PhpMyAdmin, MYSQL)?

Guten Tag,

ich habe einen Root-Server mit Linux, jedoch gibt es seit vorgestern ein großes Problem.

Auf dem Root-Server läuft ein Minecraft-Netzwerk mit einer MySQL Datenbank.

Plötzlich fing der Server an zu laggen und ein Unterserver von Minecraft ist abgestürzt.

Ich habe alles neugestartet, doch seitdem gibt es keine Verbindung mehr zu der Datenbank (MySQL).

Wenn ich: http://IP-ADRESSE-VERSTECKT/phpmyadmin eingebe, gelang ich normalerweise in das phpmyadmin Interface, doch jetzt plötzlich steht da:

--------------------------

Die Website ist nicht erreichbar

IP-ADRESSE-VERSTECKT hat die Verbindung abgelehnt. Versuchen Sie Folgendes:

Verbindung prüfen
Proxy und Firewall prüfen

ERR_CONNECTION_REFUSED

--------------------------

EDIT:

Ich habe PhpMyAdmin und co. auf dem Server aktualisiert, jetzt steht plötzlich da:

Error during session start; please check your PHP and/or webserver log file and configure your PHP installation properly. Also ensure that cookies are enabled in your browser.

session_write_close(): write failed: No space left on device (28)

session_write_close(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/lib/php/sessions)

--------------------------

Die IP-Adresse habe ich hier zensiert, normalerweise natürlich ist das der Platzhalter für meine IP-Adresse.

Danke im Voraus.

Mit freundlichen Grüßen!

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen