Hi,

Also, ich möchte einen bestimmten Bereich auf einer Seite per Passwort schützen. Der username wird beim Login in eine Sessionvariable gespeichert und anschliessend der user in ein Verzeichnis geleitet, dass so heisst, wie der username.

So weit so gut...

Problem: Es könnte ja sein, dass der user gemein ist und nach dem login einfach den Ordner eines anderen users in die URL eingibt und somit in einen fremden Ordner kommt. Das darf nich sein!

Ich will das ganze jedoch nicht mit htaccess machen! Geht leider nicht anders.

Jetzt habe ich mir gedacht, man könnte doch den jeweiligen Ordner aus der URL herausfiltern und mit dem usernamen vergleichen. Das ist halt keien Ideale Lösung...
Weiss jemand von euch eine bessere oder andere Lösung?

hi,

den ordnernamen aus der URL rausfiltern lassen ist ja nicht so kompliziert...

z.B. mit der Servervariable SCRIPT_FILENAME den Inhalt der letzen beiden /../ auslesen:
[php]
$var_array = explode ("/",$_SERVER[SCRIPT_FILENAME]);
foreach ($var_array as $folder)
{
$i++;
$folder_name[$i] = $folder;
}
$i = $i-1;

if(!$_SESSION[username]==$folder_name[$i])
{
header("Location: exit.php");
exit;
}
[/php]
und dann den vorletzen Eintrag (der letze ist der Dateiname) mit dem Usernamen vergleichen...

RE: einstein

Die Idee ist schon ok, aber leider nicht wirklich sicher. Dein Ansatz schlägt aber fehl, wenn es in diesem Ordner noch weitere Unterordner gibt. Gut, das Problem hab ich zwar auch umgangen aber schön ist es trotzdem nicht. z.B. könnte man alle files die nicht von PHP geparsed werden aufrufen, ohne dass der Schutz das mitkriegt...

Am besten wäre irgendeine Lösung über den Apache oder so. Weiss da vielleicht jemand was? Irgendwie den Benutzer zu speichern und ihm einen Ordner mit allen Unterordnern und darin liegenden Dateien freigibt und alles andere sperrt.

Danke für die Hilfe, Kara

das problem mit den unterordnern lässt sich lösen, indem du einfach die Verzeichnisse bis einschließlich des pers. Ordner abgleichst...

Ja, so mach ich das im Moment. Ist aber trotzdem nicht perfekt... man kommt an alle jpg's, etc. was nicht geschützt werden kann. Ich kann ja nur php files schützen.