Wieso kommt man als eingeloggter Admin dann an die Dateien (außer via Skript) ? Das verhindert doch die
.htaccess.
*AUCH_EDIT*
Ah, du hast es bereits gemerkt. *END_EDIT*
@hh040
Um die Begrifflichkeiten mal geradezurücken:
Das ist keine "gravierende Sicherheitslücke" und die hast du auch nicht gefunden, das ist bei diesem Modul seit langem klar.
Es ist im Höchstfall ein Datenschutzproblem.
Abgesehen davon, daß
kdg dir ja eine Möglichkeit gegeben hat das Verzeichnis zu schützen, wie kommt ein Kunde an solch einen Link wie du ihn in deinem Beispiel geschrieben hast ?,
denn, wie
kgd geschrieben hat: "erhält der Kunde seine Rechnung ja per Mailanhang".
Ich fände es allerdings auch besser wenn man den Verzeichnisnamen selbst frei wählen könnte (wie bereits das Admin-Verzeichnis in
modified 2.0.X), dann wäre ein solcher Link auch nicht erratbar (was er mit frei benanntem Admin-Verzeichnis eigtl. auch schon nicht ist).
Außerdem könnte man jede Rechnung in einen Unterordner namens z.B.
/inv_12345/ speichern, wobei die Ziffern die interne
customers_id wäre, die niemand von einem Anderen kennen kann. Zwar kann man auch da durch Ausprobieren was finden, mit einer selbstgewählten Vorsilbe allerdings ist das fast unmöglich (ich weiß,
fast reicht im Extremfall nicht...).
Das Verzeichnis so zu schützen, daß lediglich Admins daruf zugreifen können geht nicht so einfach mit PHP (zumindest nicht was Bilder, *.pdf, usw. betrifft), wohl jedoch via
.htaccess. Bemühe mal die Suchmaschine deines Vertrauens und suche nach
.htaccess .htpasswd.
Mit PHP müsste man per
.htaccess jeden Request auf das Verzeichnis zu einem PHP-File umleiten, welches z.B. prüft ob Admin und ob die Admin-Rechte vergeben sind und erst dann das File zur Verfügung stellt.
Gruß,
noRiddle