Zitat von MADMan könnt ja z.B. mein Loginformular kopieren und damit dann haufenweise Loginversuche automatisch generieren lassen.
Auch wenn deine Frage damit nicht beantwortet ist, aber glaubst du, dass sich irgendjemand das bei DEINER Seite antut? Will jetzt nicht deine Seite schlechtreden, aber sie ist sicher nicht profitabel für einen "Hacker", oder?
LG
@ Rocco teilweise lohnt es sich, auch nur um es jemanden zu beweisen das es geht..
und beides sit möglich, wobei sich htacces durch wohl leichter aushebeln läst.
Aber ich jetzt auch nicht wüste wie.
man kann doch mit htacces es so einstellen, dass nur die eigene seite als referrer zugelassen wird (zumindest geht das so bei bild-diebstahl etc)
ich denke so könntest du das lösen, ich hab das hier im forum gesehn, weiss aber nimmer wo, musst ma suche benutzen : )
Hast du eine Datenbank?
Dann speicher irgendwohin, in deine DB irgendeinen Wert. Den liest du dann auf DEINER Seite aus, und fragst ihn auf der folgenden Seite ab. Daruf kommt der "Hacker" NIE 
gute idee 
aber kann man den htacces krams denn übergehen ?
Moin!
Also mal zum allgemeinen Verständnis:
Um mit einen PHP-Script ein htaccess passieren zu können, muß sich das Script innerhalb der gleichen Domain befinden.
Das heißt man muß erstmal den htaccess-Schutz knacken, was bei richtiger Wahl eines sicheren Passwortes nahezu unmöglich ist. Ein sicheres Paßwort sollte aus mindestens 8 Zeichen bestehen und darf auch Sonderzeichen enthalten.
Benutzt du nur normale Buchstaben (Groß- und Kleinschrift gemixt, sowie Ziffern), dann ergeben sich 191707312997281 Kombinationen. Ein durchschnittlicher moderner Rechner benötig zu testen aller Kombinationen ~ 6 Jahre.
Man darf dabei aber nicht vergessen, daß das Paßwort u.U. gleich am Anfang 'erraten' wird, z.B. wenn du "aaaaaaaa" als PW benutzt. Bei "Z8Hp695b" dagegen wird der PC sicherlich schon ein paar Monate bis Jahre brauchen.
Wenn du auf 10 Zeichen erhöhst, dann gibt es bei gleicher Voraussetzung (ohne Sonderzeichen) schon 713342911662882601 verschiedene Kombinationen. Hier bräuchte der gleiche PC dann schon ~ 22600 Jahre um alle Kombinationen zu testen - allerdings glaube ich daß da vorher die CPU abraucht...
Nun kannst du das ganze noch steigern, indem du Sonderzeichen verwwendest und zusätzlich die IP des Rechners loggst. Bei x (z.B. 5) Fehlversuchen wird per PHP-Script die IP geblockt. Das kann auf verschiedene Weise erfolgen, z.B. indem das Script die htaccess-Datei umschreibt und dort für die IP eine Sperre setzt. Ich habe es noch nicht ausprobiert, da es sich bei der htaccess aber um eine einfache Textdatei handelt, dürfte das kein Problem sein.
Ohne htaccess machst du die IP-Sperre eben ganz einfach per PHP-Script.
G.a.d.M.
Ronald
man sagt ein 30min block bei 3 feheingaben für ein 4 Zeichen Passwort.
für ein 5 ezichen PW reichen dann schon 5 Fehleringaben.
Da kann mann dann vareiren.
Aber ein Hacker der da wirklich rauf will, wird sicherlich nicht versuchen dein PW zu eraten.
Und mit eienr stabielen apache Version ist es so gut wie ummöglich htaccess zu knacken. Wenn mann keien php oder perl scripte mit löchern findet.
also von einem anderen server (vorausgesetzt, es gibt keine php scripte mit löchern) ist es also so gut wie unmöglich das pw herauszufinden ?
gefällt mir^^
Wie kann man denn nun prüfen, ob jemand versucht sich anzumelden, um diese Sperre zu erstellen? Wohl kaum mit PHP. Oder? Das Script wird ja nihct ausgeführt, solange das PW nicht stimmt...
Kannst du bei deinem Provider eigene Fehlerseiten für HTTP Status Codes definieren?
Wenn ich mich recht erinnere ist ein Fehlgeschlagener htacces login 403...
Natürlich lassen sich als Fehlerseiten auch php Scripte benutzen die dann die fehlgeschlagenen Logins auswerten können.
Ansonsten zeichnet aber auch apache alles in seiner Logdatei mit.
Versuchs mal mit SESSION
Infos dazu bekommst du unter
http://www.PHP-Einfach.de
