Directory Password protect

In de praktijk is het veilig, tenzij je een lek op je website heb waarmee je bestanden kan includeren (ook Local File Inclusion genoemd, of LFI) ) via aanpasbare waardes (zoals $_GET en $_POST).

En bedoel je met website de hele website of alleen de map /pagina?

De hele website, en als het helemaal tegenvalt de hele server....

Voorbeeld:

<?php "include/".include($_GET['filename'].".php"); ?>

En dan zou je het via deze URL de inhoud kunnen ophalen:
http: //vulnerable_host/preview.php?file=topsecret/index

Dus mocht je gebruik maken van een pagina-systeem om via $_GET de pagina's in te laden, wees dan vooral goed op je hoede!

Bedankt voor je reacties, ik weet voldoende.

Is er een betere manier om zo een pagina te beveiligen?

Laten we beginnen met het volgende:

WAT probeer je precies te beveiligen?
- bestanden in een directory
- toegang tot scripts die je in staat stellen om "administratieve taken" uit te voeren
- iets anderes?

WAARTEGEN dient dit beveiligd te worden?
- ongeauthoriseerd opvragen (van bijvoorbeeld afbeeldingen of andere documenten)
- ongeauthoriseerd uitvoeren (van de eerdergenoemde "administratieve taken")
- iets anders?

ik zal het even uitleggen.
Ik wil dat elke klant een eigen pagina heeft voor zijn/haar info te bekijken.
bijvoorbeeld:

website.nl/klanten/klant1/
website.nl/klanten/klant2/
website.nl/klanten/klant3/

elke klant heeft dan dus zijn eigen index.html waar zijn/haar informatie op staat, waar hij op kan inloggen.
deze paginas hebben elk dus hun eigen wachtwoord.

Ik kies hiervoor omdat ik niet met mysql wil werken.

Hebben jullie betere ideeen?

Jasper Schellekens op 30/06/2015 21:10:02

Bedankt voor je reacties, ik weet voldoende.

Is er een betere manier om zo een pagina te beveiligen?

Ik zeg niet dat de manier slecht is, zolang je maar goed orde op zaken stelt en geen gaten in de beveiliging hebt.

Als je echt niet vertrouwt moet je maar een loginsysteem met sessies bouwen, en ja, ook dat is helaas weer te hacken via Cross Site Scripting (XSS). Dus blijf altijd op je hoede en zorg dat je veilig programmeert.

Trouwens, ga je echt serieus voor elke klant een eigen website aanmaken? Het klinkt zeker niet erg handig.
En wat is er mis met MySQL?

Als klanten elk hun eigen persoonlijke pagina hebben (dit is dus afgeschermd) wat maakt de URL dan uit? :/

Jasper Schellekens op 30/06/2015 21:21:33

Ik kies hiervoor omdat ik niet met mysql wil werken.

Dat mag, maar dan maak je het jezelf wel verdomd moeilijk? Hoe wil je dit gaan beheren dan?

Jasper Schellekens op 30/06/2015 21:21:33

Hebben jullie betere ideeen?

Wel iets in de vorm van een database gebruiken zodat je informatie gestructureerd kunt opslaan.

EDIT: kun je niet beter 1 voordeur hebben?
/klanten/login
of zelfs
/klanten
?

Er is anders ook MsSQL, PostgreSQL, Filemaker, Oracle etc... ;-)

Dit doe ik omdat mijn klantenkring erg beperkt is. (40-50 klanten)
Ik ben niet de beste met php/mysql, ik heb enkele leden systemen geprobeerd,
De systemen op internet verkrijgbaar functioneerde niet.
Vanalles geprobeerd uiteraard om het werkend te krijgen maar het waren allemaal oude systemen van 10 jaar oud vol met sql injection.

Daarom heb ik ervoor gekozen om het zo te doen, het is stukken makkelijker voor mij, omdat ik html wel heel goed beheers.