Sie befinden sich hier im Forenarchiv von phpforum.de wenn Sie direkt ins Forum möchten, klicken Sie bitte hier. Zur Startseite kommen Sie hier.

globale Servervariablen...sicher?

Hallo!
Ich habe vor mein Script per .htaccess zu schützen. Der User meldet sich an und per $_SERVER['REMOTE_USER'] kriege ich ja dann seinen Namen raus...dann liest das Script aus einer Datenbank die Rechte des Users aus...soweit alles schön und gut ;) ...Nur eine Frage habe ich bezüglich der Sicherheit... ist es dem User irgendwie möglich diese Variable zu ändern und sich so den Namen eines Admins zu geben?
Vielen Dank im voraus

Hier gehts zum Orginal Eintrag "globale Servervariablen...sicher?" im Forum

Antworten

nur wenn er das Passwort hat, oder jedes Passwort als richtig angesehen wird


2.

Naja also er kann sich nicht unter seinem Namen einloggen und dann evtl diese Variable da ändern?


3.

nope, außer eventuell wenn register_globals an sind, ka ob das geht, aber die kannst du ja abschalten (bzw. solltest es sogar!)


4.

Das hat mit register_globals nix zu tun (ausnahmsweise). Die Variablen in $_SERVER lassen sich nur teilweise durch den Benutzer manipulieren. "REMOTE_USER" wird direkt vom Apache geliefert und es kommt somit darauf an, wie sicher der Apache ist...


5.

Okay...vielen Dank für eure Antworten...ich geh mal davon aus, dass Apache bei mir sicher is^^ ... Oder sind weitere Sicherheitsmaßnahmen zu empfehlen...irgendwie immer das PW überprüfen oder so?


6.

Der Apache kennt verschiedenste Authentifizierungsmethoden, die als Module eingebunden werden. Wie sicher jedes einzelne davon ist, muss man im Einzelfall prüfen.


7.

und wie kann man das testen?


Hier gehts zum Orginal Eintrag "globale Servervariablen...sicher?" im Forum
 
phpforum.de | Impressum