Cabecera POST para acceder a un php protegido

Kaxperday · 17 Septiembre 2014, 10:47 AM

Pues eso, tengo un directorio protegido en mi página y debo hacer un POST sobre un archivo php de dentro del directorio protegido, la cabecera que uso es la siguiente, faltaría la autentificación (uso htaccess y htpasswd):

Código (c) [Seleccionar]



POST /directorio_protegido/archivito.php HTTP/1.1\r\n");
Host: webdomain.com\r\n");
Content-type: application/x-www-form-urlencoded\r\n");
Content-length: 40\r\n\r\n);
n=wdj2ij

Como conseguiría que funcionara para que funcionase sobre un archivo protegido?

ivancea96 · 17 Septiembre 2014, 12:12 PM

Si está protegido, protegido está no? xD

Kaxperday · 17 Septiembre 2014, 13:02 PM

Vaya, es que creo que había algo para autentificarse en plan:

Código (php) [Seleccionar]


POST /directorio_protegido/archivito.php HTTP/1.1\r\n
user: blabla\r\n
pass: blabla\r\n
Host: webdomain.com\r\n
Content-type: application/x-www-form-urlencoded\r\n
Content-length: 40\r\n\r\n
n=wdj2ij

Y he buscado pero no encuentro nada, pensé que igual os ha pasado alguna vez y sabríais del tema xD,es algo bastante importante (ya que es necesario mandar POST al php del directorio protegido, porque en ese PHP es donde quiero controlar la botnet y si ese PHP no está protegido cualquiera podría acceder a él), pero a la vez si pongo el usuario y password en la cabecera cualquiera podría snifar el tráfico y hacerse con la botnet, luego habría que buscar otro camino para proteger el PHP.

Saludos.

ivancea96 · 17 Septiembre 2014, 14:19 PM

En vez de protegerlo, ¿y si haces una comprobación de user y pass?

Kaxperday · 17 Septiembre 2014, 16:17 PM

Ya la hago, esta el index, allí se identifica el administrador para acceder ala botnet, luego está esa botnet php está en directorio protegido con htaccess y htpasswd, pero lo del index no vale para nada si conocen ya el directorio de botnet php.

A qué te refieres? user y pass donde?

ivancea96 · 17 Septiembre 2014, 16:26 PM

Hacer una comprobacion "if($_POST["pass"]=='XXXX'){ ... }"

Kaxperday · 17 Septiembre 2014, 17:24 PM

Haber, se trata de que para qie nadie acceda a la botnet meto el archivo bot.php dentro de una carpeta protegida asi cuando alguien quiera acceder desde la web a ese directorio le pida autentificacion, esto da lugar a que los POST que van a ese directorio no puedan acceder, y digo ¿que seguridad puede sustituir a la que estoy usando entonces?.

Lo que tu propones es para autentificar al cliente bot, pero puedo hacerlo y nada cambiaría, no se si me has entendido. Lo que quiero es securizar el directorio para que no se pueda accwder deade la web si securizo el php SI se puede acceder al bot.php desde la web.

ivancea96 · 17 Septiembre 2014, 17:36 PM

Pero vamos a ver. Si no puede acceder la gente, tu bot tampoco va a poder.

El caso es ponerle algún tipo de contraseña.

daryo · 17 Septiembre 2014, 17:42 PM

que tal algo asi?
http://en.wikipedia.org/wiki/Basic_access_authentication

y la idea de ivancea es como lo veo mas simple pasas el user y la pass por post en caso de que no exista se muestra otro contenido pero bastaria un sniffer para ver cual es la clave y el usuario

http://www.httpwatch.com/httpgallery/authentication/

MinusFour · 17 Septiembre 2014, 17:48 PM

El header que buscas, que lo ha puesto daryo es:

Código [Seleccionar]


Authorization: Basic base64

Donde base64 es "usuario:contraseña" en base64.