Passwort-, Diebstahl- und htacess-Schutz???????

[Souldelivery]

Also:

Punkt 1:
Im Flashfilm muss sich der User einloggen um in den Adminbereich zu kommen.
Habe es wie folgt gelöst:
User gibt PW in Eingabefeld (userpasswort) ein.
Per PHP werden Variablen aus meiner mysql-Database abgerufen (unter anderem auch die Variable Passwort)
Im Film werden userpasswort und passwort verglichen und der User wird dann mit if else weitergeleitet.

Kann man einen solchen Schutz leicht knacken?

Punkt 2:
Habe den Flashfilm und ein paar php-Dateien in einem Verzeichnis.
Unter anderem sind in einer der PHP-Dateien auch die Zugangsdaten zu meiner mysql-Datenbank angegeben (muss ja, damit die php-datei rienschreiben und auslesen kann).
Diese möchte ich natürlich schützen.
Habe bisher htacess genutzt, weil nur ich an die swf-Datei musste.
Nun ist es aber so, dass JEDER Internetnutzer, der will, die swf-Datei abrufen können soll.
Wenn ich allerdings htacess nutze ist ja auch die swf-Datei geschütz, was aber nicht sein soll.

Wie kann ich es regeln, dass:
- die php-datei (Datenbank-Zugangsdaten) geschützt ist
- der Film selbst nicht PW-geschützt ist
- der Film trotzdem die php-dateien verwenden kann


Ich hoffe ich habe verständlich erklärt, wo mein Problem liegt.
Mit der Suche bin ich leider nicht weiter gekommen.

[sonar]

Also erstens kann man prinzipiell mit ner .htaccess auch nur bestimmte Dateitypen schützen. Müsstest bei http://de.selfhtml.org/ oder so mal kucken...

Aber: wie sollte sich jemand denn ne PHP-Datei (also den Quellcode) ziehen? Hast das schon mal probiert..? Klar, die SWF könnte man ziehen und auch mit nem Decompiler zerlegen, aber deswegen hat man doch noch lang nicht die PHP-Files, selbst wenn man weiß, wie sie heißen und wo sie liegen...

[Souldelivery]

also kann man eine PHP-Datei nicht auslesen?
Das wäre natürlich super.

Ehrlich gesagt hätte ich nicht gedacht, dass es etwas gibt, was man nicht auslesen kann
Kanns mir noch immer nicht vorstellen.
Wäre nett, wenn mir das noch mal jemand bestätigen kann (nicht, dass ich es nur falsch verstanden habe)

Gut:
Dann hab ich aber noch ne Frage:
Ich möchte mein entwickeltes "Produkt" später ja auch vermarkten.
Wenn ich das Teil aber nun jemandem verkaufe, der etwas Ahnung hat, wird er sicher in der Lage sein es zu kopieren und so zu vervielfältigen.
Wie kann man denn sowas verhindern, wenn man den ganzen Kram beim Kunden aufs Webspace läd?

Deinen "Anhang": Fush Buck! find ich gut )

[m1cha]

und wenn du so eine angst hast das jemand an deine zugangsdaten kommt, dann lege doch einfach eine php-datei mit dein zugangsdaten ausserhalb des öffendlichen bereiches ab.

user/www/bla der öffendliche bereich für den http-server beginnt z.b bei www

dann legst du einfach deine passwort-datei unter user ab, denn php ist es egal in welchen bereich die dateien liegen, denn php kann auch über den öffendlich bereich zugreifen.

und dann halt die datei includen.

wenn deine projekt unter dem server-verzeichnis bla liegt (beispiel oben) einfach mit @include ("../../meinedatenundso.php"); in deine php-datei reinladen.

gruss m1cha

[Souldelivery]

die letzte Antwort lässt mich vermuten, dass es doch möglich ist PHP-Dateien auszulesen

[m1cha]

ja...

wenn der schlimmste fall eintritt, und der php-interpreter nicht mehr läuft. dann bekommst du nur ein fenster wo dir dein browser die php-datei zum download anbietet.

aber das kommst eigendlich nicht vor.

gruss m1cha

[Deluxe]

übetrag das passwort nicht in die swf.
wenn ich die swf decompiliere hab ich die url und die argumente, die das php script erwartet.
also schicke ich was hin(in einer anderen swf) und überwache meine variablen-schau mir das gültige passwort an-fertig.
sende lieber die eingabe an das php und überprüfe auf dem server.
so haste nur den wert true oder false in der swf.


deluxe

[Souldelivery]

@m1cha

das würde aber auch passieren, wenn die PHP-Datei auf einem anderen Server liegt, richtig?
Also gibt es keine Methode diese Daten zu schützen?

@deluxe

hört sich gut an.
Wie mach ich das )
ach... ich benutze erst mal die Suche und melde mich dann wieder

[m1cha]

@Souldelivery
wie meinst du das? auf einen anderen server? es ist doch egal auf welchen server das php-file liegt, solange der php-interpreter läuft.

und denke daran das flash nur ein script aufrufen kann was auf dem selben server wie es selber liegt, das ist eine gute sicherheit. ich glaube sogar das php-file muss im selber verzeichniss oder darunter liegen, und darf auch nicht über dem verzeichniss liegen. aber das weis ich jetzt nicht genau.

gruss m1cha

[Robben]

Wie wärs mit ner Codierung des Passworts? Noch innerhalb der swf?

Die Überprüfung muss auf jedenfall auf php oder mysql ebene erfolgen, finde ich.

Die MySql datenbank dürfte auch nur codierte Passwörter enthalten.

Sollte php ausfallen, kann dann nix mehr passieren, da sich z.B. nach crypt verschlüsselte Sachen nicht mehr zurückcodieren lasssen. Sowas hab ich selbst auch schon gemacht. Das ist supersicher, finde ich.