PHP htaccess schützt nicht richtig

Pfandfinder · 14. April 2022

ich habe einen admin-Bereich auf meiner website der mit htaccess geschützt ist. ich kann mit einem Zugriff auf php/delete.php?id=X Daten löschen. soeben ist mir aufgefallen beim Testen, dass die daten direkt gelöscht werden beim Aufruf, obwohl die Anmeldemaske erscheint und ich mich noch gar nicht angemeldet habe. wie kann das sein ? kann man das mit PHP irgendwie prüfen und abfangen ?

madmax2010 · 14. April 2022

zeig mal die apache config

Pfandfinder · 14. April 2022

das sollte der wichtige teil sein

Code:

<Directory />
        Options FollowSymLinks
        AllowOverride None
        Require all denied
</Directory>

<Directory /usr/share>
        AllowOverride None
        Require all granted
</Directory>

<Directory /var/www/>
        Options Indexes FollowSymLinks
        AllowOverride None
        Require all granted
</Directory>

#<Directory /srv/>
#       Options Indexes FollowSymLinks
#       AllowOverride None
#       Require all granted
#</Directory>




# AccessFileName: The name of the file to look for in each directory
# for additional configuration directives.  See also the AllowOverride
# directive.
#
AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
        Require all denied
</FilesMatch>

Haggis · 14. April 2022

Das Problem ist
AllowOverride None

Die .htaccess ist hier das Override.

Pfandfinder · 14. April 2022

und wie muss das heißen ? All ?

Helge01 · 14. April 2022

Genau, AllowOverride All
Deine VirtualHost wäre noch interessant, da man auch dort das festlegen kann.

Pfandfinder · 14. April 2022

das ändert nichts...

Ergänzung (14. April 2022)

Code:

<VirtualHost *:80>
        # The ServerName directive sets the request scheme, hostname and port that
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".
        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

Haggis · 14. April 2022

In welchem Pfad liegt denn die PHP-Datei?

Evolutio · 14. April 2022

Doofe Frage, aber Ruf mal den Link zum Löschen im neuen Tab auf. Ist da dann auch noch die Anmeldemaske von der .htaccess und wird der Eintrag gelöscht?

Sollte die Anmeldemaske nicht erscheinen, musst du die .htaccess auch in den Unterordner packen.
die schützt lediglich die Dateien die auf der selben Ebene liegen.

Pfandfinder · 14. April 2022

naja ich öffne einen browser wo ich noch nie angemeldet war mit dem link auf die PHP und da wird es ja direkt gelöscht....

Ergänzung (14. April 2022)

Haggis schrieb:
In welchem Pfad liegt denn die PHP-Datei?

wie meinst du ?

Evolutio · 14. April 2022

Zeig mal deine Verzeichnisstruktur mit der Datei und der .htaccess.

Pfandfinder · 14. April 2022

/admin/

da ist eine index.php

dann in php/delete.php ist die delete.php

Code:

<Files index*>
AuthType Basic
AuthName "Admin Center"
AuthUserFile /var/customers/webs/customer3/admin/.htpasswd
require valid-user
</Files>

Evolutio · 14. April 2022

also:
/admin/.htaccess
/admin/index.php
/admin/php/delete.php

Richtig?

Ich glaube das Problem ist die .htaccess mit der ersten Zeile wo nur die index.php geschützt ist. (index*)

Pfandfinder · 14. April 2022

ok stimmt mit <Files *> geht es

RalphS · 14. April 2022

Wenn im Zweifel: Dinge, die nicht öffentlich erreichbar sein müssen, die kann man
a- per Dateisystembereichtigung "unzugreifbar" machen; und/oder
b- aus dem virtuellen Verzeichnis rausnehmen und durch die Webanwendung referenzieren.

Eine dicke fette Webanwendung kann schon mal nur ein paar kB im virtuellen Pfad haben, da hat der Inhalt desselben nix mit dem Umfang der Anwendung zu tun.

Suche

PHP htaccess schützt nicht richtig

Pfandfinder

Lieutenant

madmax2010

Fleet Admiral

Pfandfinder

Lieutenant

Haggis

Lieutenant

Pfandfinder

Lieutenant

Helge01

Commodore

Pfandfinder

Lieutenant

Haggis

Lieutenant

Evolutio

Cadet 4th Year

Pfandfinder

Lieutenant

Evolutio

Cadet 4th Year

Pfandfinder

Lieutenant

Evolutio

Cadet 4th Year

Pfandfinder

Lieutenant

RalphS

Gast

Ähnliche Themen