Hello,

ich benutze seit langem .htaccess-Dateien in meinen Webprojekten. Bei der Authentifizierung müssen die Pfade der entsprechenden Benutzer- oder Gruppendateien absolut angegeben werden. Bevor ich eine .htaccess-Datei hochlade, muss ich den Pfad also anpassen, weil er ja nicht mit meinem lokalen Verzeichnispfad übereinstimmt.

Die relative Angabe einer Datei wird vom Apachen relativ zum ServerRoot gesehen. Das hat mit dem DocumentRoot nichts zu tun, der den jeweiligen VHost bildet, und kann nur beeinflusst werden, wenn man an die zentrale Konfigurationsdatei herankommt.

<kkmode>Relative Pfadangaben beziehen sich immer auf den aktuellen Standort, also das eingestellte Arbeitsverzeichnis, nicht aber auf eine "Roor" (egal welche) oder auf den Speicherort des Scriptes, auch wenn zweiteres meistens auf identisch mit dem eingestellten Arbeitsverzeichnis ist</kkmode>

http://httpd.apache.org/docs/2.2/mod/mod_authn_alias.html
Das ist nun wieder interessant.

Zu beachten wäre auf jeden Fall noch, dass die .htaccess-Datei und die Autentifizierungsdatei schreibgeschützt werden sollten für den normalen Besucher und seine Dienste, also auch für den Apache-Webserver (mit ggf. PHP- oder PERL-Modul) und für die CGI-Scripte und tunslichst nicht über einen Userupload erreichbar sein sollten.

Ich habe in der letzten Zeit vermehrt Wehklagen gehabt, bei denen die Betreiber der Webseite dubiose Uploadscripte (meistens für Bilder und/oder Textdateien) eingesetzt haben und nicht beachtet haben, dass der Besucher damit in die Lage versetzt wurde, die .htaccess oder .htpasswd (wie sie dann auch noch per Default hieß) zu überschreiben.

Da steht dann Tür und Tor offen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg