Das ist relativ unsicher, weil bei einem Ausfall des Parsers der Webserver dann die Files ggf. im Klartext ausliefern würde. Zumindest sollte ein zusätzlicher Schutz mittels .htaccess stattfinden, indem man das File z.B. .ht_logindata.php nennt. Das gilt für eine Standardeinrichtung bei Apache. Dort werden alle Files, die mit '.ht' anfangen, nicht per HTTP ausgeliefert.

Hi Tom,
warum zitierst du 90% meiner Antwort aber der entscheidende Satz, eben das es nicht die sicherste Methode ist, zitierst du nicht?

Klar ist bei einem Ausfall des Parsers deine beschriebene Gefahr da, allerdings sind dann auch alle Scripte downloadbar und Funktionen und somit in sehr vielen Fällen Datenbanklogindaten, etc. anzeigbar.

Ich würde jetzt ja sagen deine beschriebene Gefahr sei von der Wahrscheinlichkeit eigentlich zu ignorieren, wenn tja, wenn mir nicht tatsächlich mal genau dieser Fall passiert wäre. Zu Anfangszeiten hatte ich mal mit .htaccess und der Möglichkeit rumgespielt eigene 404 fehler auszugeben. Die .htaccess war aus dem Netz und vollkommen OK und der Server von Verio. Bis heute weiss ich nicht warum, aber der Parser fiel aus und all meine schönen Scripte standen der Öffentlichkeit zur Verfügung, nicht nur das, auch alle .inc, .conf, usw.... Dateien.

Das war aber auch bis dato das erste und einzige Mal.

Aber nochmal, der sicherste Weg ist ausserhalb vom ROOT, zumal ich deine Idee schon ablehne, weil

1. bei vielen Billig-Angeboten wird eine .ht-Datei gar nicht erst angezeigt im FTP Bereich, schlecht zu warten.

2. Meine damalige Situation mir eine lebenslange .htacess-phobie in Bezug auf Verzeichnismanipulation gegeben hat.

Paul