Steffen: form action = "BLA.PHP" mit unerwünschter Passwortabfrage

Hallo zusammen,

ich bin neu im Bereich PHP und habe wg. meines Problems auch schon hier und beim Gugel herumrecherchiert, aber ohne Erfolg.

Folgendes: Ich habe meine PHP-Files auf dem Server weitgehend in einem mit .htaccess geschützten Verzeichnis. Nun möchte ich ein Formular entwickeln, aus dem ich Werte an BLA.PHP5 übergeben will. BLA.PHP5 liegt ebenfalls im geschützten Bereich.
Wenn ich das nun aber teste, werde ich nach meinem Passwort gefragt.
Liegt das daran, dass BLA im HTML-Formular über http angesprochen wird? Andere PHP-Files, die ich über require aus dem geschützten Bereich einbinde, machen nämlich keine Faxen.

Nun wollte ich schlau sein und habe einen File BLUB.PHP5 in den offenen Bereich gepackt, der nichts tut als BLA über require einzubinden.

Meine Hoffnung sah etwa so aus:

  • Das Form bindet nun BLUB über 'form action = "..." ein.
  • BLUB liegt im offenen Bereich, also keine PW-Abfrage.
  • In BLUB steht nix aus 'require("verysafe/BLA.PHP5"), ich binde also BLA nicht über http ein und vermeide die PW-Abfrage.

Netter Versuch. Leider gab's trotzdem die fiese und schon bekannte Frage 'He, Fremder, Du willst was aus verysafe. Wer bist'n Du?'

Ich hoffe, dass ich mein Problem nachvollziehbar geschildert habe.
Wahrscheinlich ist die Lösung fürchterlich banal, aber ich komme nicht drauf, wo mein Denkfehler liegt.

Danke schön vorab für Eure Hilfe!

Gruß aus Berlin,
Steffen

  1. echo $begrüßung;

    • BLUB liegt im offenen Bereich, also keine PW-Abfrage.

    Hast du das verifiziert, indem du mal BLUB direkt aufgerufen hast?

    Ich hoffe, dass ich mein Problem nachvollziehbar geschildert habe.

    Es ist nur als Gedankenspiel nachvollziehbar und in Gedanken funktioniert es auch bei mir. Möglicherweise hast du irgendein Detail übersehen.

    echo "$verabschiedung $name";

    1. Hallo Martin und dedlfix,

      danke für's schnelle Feedback.
      Ich werde mal kucken, wann ich in den nächsten Tagen nach der Arbeit noch klar genug bin, den Hinweisen nachzugehen.
      Möglicherweise liegt es tatsächlich daran, dass ich an einer Stelle eine css-Datei ungeschickt einbinde.
      Wenn ich die Kuh vom Eis getrieben und damit mein Problem gelöst habe, werde ich hoffentlich daran denken, diese Lösung hier kurz zu posten :)

      Bis dahin schöne Grüße,
      Steffen

  2. Hallo,

    [...] BLA.PHP5 liegt ebenfalls im geschützten Bereich.
    Wenn ich das nun aber teste, werde ich nach meinem Passwort gefragt.

    logisch.

    Liegt das daran, dass BLA im HTML-Formular über http angesprochen wird?

    Genau das.

    Nun wollte ich schlau sein und habe einen File BLUB.PHP5 in den offenen Bereich gepackt, der nichts tut als BLA über require einzubinden.
    [...]
    Netter Versuch. Leider gab's trotzdem die fiese und schon bekannte Frage 'He, Fremder, Du willst was aus verysafe. Wer bist'n Du?'

    Dann versucht dein Dokument wahrscheinlich, weitere Ressourcen (z.B. Bilder oder Stylesheets) aus dem 'verysafe'-Bereich abzurufen. Das kannst du testen, indem du die Frage nach dem Benutzernamen und dem Passwort einfach mit "Abbrechen" bedienst. Wenn ich mit meinem Verdacht Recht habe, bekommst du dann das Dokument angezeigt, aber eben ohne die Bilder bzw. ohne deine individuellen Formatierungen.

    Eine ganz andere Sache noch: Es hat sich allgemein eingebürgert, Dateinamen durchgehend in Kleinbuchstaben zu schreiben. Großschreibung, wie du sie hier verwendest, ist nicht "verboten", aber ungewöhnlich - und dann denk dran, dass die meisten Server unter Unix-artigen Systemen laufen, die im Gegensatz zu Windows sehr genau zwischen Groß- und Kleinschreibung unterscheiden.

    So long,
     Martin

    --
    why the heck do you jerk think, that wir ein doppelposting nicht bemerken, wenn you zwischendurch the sprache wechselst?
      (wahsaga)
  3. Mahlzeit Steffen,

    Meine Hoffnung sah etwa so aus:

    • Das Form bindet nun BLUB über 'form action = "..." ein.

    Es wird auf diese Weise nichts "eingebunden". Es wird dem Browser lediglich mitgeteilt, an welche Ressource er die (vom Benutzer eingegebenen) Formulardaten schicken soll. Wenn diese Ressource in einem per .htaccess geschützten Bereich liegt und für diese (in der aktuellen Session) bisher noch keine Autentifizierung erfolgte, dann wird selbstverständlich eine (vom Browser) durchgeführt, wenn nach dem Abschicken des Formulars die Zieladresse abgerufen wird.

    Was genau ist jetzt Dein Problem? Woran hapert's? Wann tritt welche unerwartete Meldung auf?

    MfG,
    EKKi

    --
    sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|
    1. Moin EKKI,

      voller Demut würde ich Wurm erwägen, Deine Olympischen Ratschläge anzunehmen, wenn ebendiese ersichtlich wären.

      Was genau ist jetzt Dein Problem? Woran hapert's? Wann tritt welche unerwartete Meldung auf?

      Ich kenne Foren, in denen bei solchen Gelegenheiten geantwortet wird, 'wer lesen kann, ist im Vorteil'.
      Damit möchte ich Dir noch nicht mal durch die Blume vermitteln, dass es offensichtlich zwei User vor Dir gegeben hat, die anscheinend recht genau mein Anliegen verstanden und sich sowohl schnell als auch hilfreich geäussert haben.

      Möglicherweise haben etwaige Verständnisprobleme etwas mit Dir zu tun?

      Lass es einfach stecken. Hilfe auf Augenhöhe nehme ich gerne an, aber auf der Ebene: geschenkt.

      Ciao,
      Steffen

      1. Hi,

        Was genau ist jetzt Dein Problem? Woran hapert's? Wann tritt welche unerwartete Meldung auf?

        Ich kenne Foren, in denen bei solchen Gelegenheiten geantwortet wird, 'wer lesen kann, ist im Vorteil'.

        Hier haette man wohl eher antworten sollen, "wohl dem, der weiss, was der Code, den er erstellt hat, tut" - und zwar dir.

        Damit möchte ich Dir noch nicht mal durch die Blume vermitteln, dass es offensichtlich zwei User vor Dir gegeben hat, die anscheinend recht genau mein Anliegen verstanden und sich sowohl schnell als auch hilfreich geäussert haben.

        Dass diese Antworten, die dir auf Grund der duerftigen Menge an brauchbarer(!) Information, die du geliefert hast, auch nicht viel mehr sagen konnten als "dann schau dir deinen Murks halt noch mal genauer an", dir bereits weitergeholfen hatten, hattest du zum Zeitpunkt von EKKis Posting noch durch nichts zu erkennen gegeben.

        Möglicherweise haben etwaige Verständnisprobleme etwas mit Dir zu tun?

        Lass es einfach stecken. Hilfe auf Augenhöhe nehme ich gerne an, aber auf der Ebene: geschenkt.

        Gut, dann steck dich auch wieder dahin, wo du hervorgekrochen bist. Denn auf Leute wie dich, die derart reagieren, wenn sie gebeten werden ihr Problem mal etwas nachvollziehbarer zu beschreiben, wenn sie schon Hilfe suchen, weil sie ihren eigenen Mist nicht mehr selber ueberblicken koennen, kann ich zumindest verzichten.

        MfG ChrisB

        --
        „This is the author's opinion, not necessarily that of Starbucks.“