Hi Forumler,

nachdem ich keinen PW-Schutz per .htaccess erreichen konnte, habe ich nun selber was gedichtet... leider bin ich nicht der Security-Fachmann und weiss dementsprechend nicht genau, ob der Schutz auch wirklich halbwegs sicher ist:

(Alles wird mit include() in eine PhP-Datei eingebunden..)

Zuerst gelangt man zu einem Loginscript, in dem man den Benutzernamen und das Passwort eingeben muss (Steht beides in einer DB). Wenn dies erfolgreich war, so wird die aktuelle Session-ID und die aktuelle Zeit (per time()-funktion) in eine DB geschrieben.

Bei allen Dateien, die im internen Bereich liegen, passiert nun folgendes:
Alle Einträge in der DB werden mit der aktuellen Zeit verglichen. Ist die Zeitdifferenz groeßer als eine halbe Stunde, so wird der Eintrag gelöscht.
Dann wird die Session-id des Zugreifenden wird mit allen Session-Ids in der DB verglichen. Wenn eine Übereinstimmung vorhanden ist, so darf er zugreifen, und die Zeit in der DB wird aktualisiert, ansonsten wird er weitergeleitet.

Auf die Dateien direkt zugreifen kann man nicht, da hier ein .htaccess-Schutz aktiv wird.

Nun meine Frage: ist das halbwegs sicher, oder habe ich was uebersehen?

MFG

Philipp