php-Script integrieren/ Zugriffsschutz

[Mux]

Moin,
ich habe in mein WB mittels code-Modul ein php-script eingebaut, einen Terminkalender, bei dem die Daten in einer xml-Datei gespeichert werden. Alle zu diesem Terminkalender gehörigen Dateien inkl. der xml-Datei befinden sich in einem Verzeichnis. Momentan befindet sich dieses Verzeichnis in einem Template-Ordner.
Der Terminkalender soll nur für eine bestimmte Usergruppe zugänglich und auch editierbar sein.
Funktioniertt erstmal alles über die ganz normale WB-Seitenverwaltung. Nur kann jeder leider auch direkt auf die Dateien zugreifen, ohne überhaupt angemeldet zu sein, wenn er halt den direkten Link zur php- oder xml-Datei kennt.
Kann ich diesen direkten Zugriff irgendwie verhindern? z.B. per htaccess, ohne dass sich dann User nachher doppelt anmelden müssen oder andere Nachteile entstehen?
Und überhaupt: wenn ich irgendwelche php-scripte über's code-Modul ins WB einbauen will, wo sollte man diese Dateien dann am besten ablegen? Ginge das ganze vielleicht auch einfach in einem Ordner, der oberhalb des root-Verzeichnisses liegt?

Grüße,
Mux

p.s. bzgl des Themas Zugriffsschutz wurde hier im Foruim mal ein Link gepostet: http://projects.websitebaker.org/websitebaker2/wiki/Docs-EN-Securing-admin
Der Link funktioniert aber nicht. Kennt jemand eine andere Quelle?

[Mux]

p.s. bzgl des Themas Zugriffsschutz wurde hier im Foruim mal ein Link gepostet: http://projects.websitebaker.org/websitebaker2/wiki/Docs-EN-Securing-admin
Der Link funktioniert aber nicht. Kennt jemand eine andere Quelle?

achja, googeln hilft ja manchmal... http://project.websitebaker2.org/wiki/Docs-EN-Securing-admin ist's...

[thorn]

Hallo,

wenn du vollen Zugriff auf den Server hast, macht es Sinn alle Daten (auf die nur über PHP zugegriffen wird) außerhalb von Document-Root abzulegen.
Wenn das nicht geht, steck diese Dateien in ein eigenen Verzeichnis, und schütze das per .htaccess/.htpassword

Also:
Die Code-Seite ist z.B. registriert oder privat. Die Seite enthält ein kurzes Skript, das weitere php-Dateien per require_once() aufruft. Diese Dateien, und die Daten, liegen dann in einem geschützten Verzeichnis, oder außerhalb von Document-Root. -- So dass man von Außen weder auf die Seite (login notwendig), noch auf die weiteren Skripte und Daten zugreifen kann.

thorn.

[Mux]

auf ein Verzeichnis außerhalb vom document root kann ich leider nicht zugreifen.

und  zu htaccess: die betreffende WB-Seite, über die dann auf das Verzeichnis erlaubterweise zugegriffen wird, kann eh  nur eine bestimmte registrierte Gruppe sehen. Wenn ich das Verzeichnis per htaccess schütze, kommt leider die pw-Abfrage auch, wenn die WB-Seite geöffnet wird. D.h.  Leute aus dieser Gruppe müssen sich erst beim WB anmelden und dann nochmal einloggen, wenn sie auf diese Seite zugreifen wollen.
Gibt es da keine bessere Lösung?

Mux

[Mux]

hm, so langsam errate ich die Wurzeln des Problems.
Meine php-scripte laufen per Wrapper bestens, wenn htaccess ins Spiel kommt, ist es aber aus damit. Ich vermute mal,weil der Zugriff per Wrapper eine ganz normale http-Anfrage gestellt wird, die htaccess halt nicht zulässt.
Versuche ich die Scripte (mit aktiviertem  htaccess) per require oder include einzubinden, scheint es zu funktionieren, funktioniert aber dann doch nicht, weil scheinbar irgendwelche relativen Pfadangaben in den Scripten falsch sind, grrr....
Mux