我有一台在 debian lenny 中运行 apache2 的服务器。
受 .htaccess 保护的文件夹发生了一些奇怪的事情。
基本上,如果您输入了错误的密码,但由 the_correct_password + _more_chars 组成,它就会让您进入。如果您以其他方式输入了错误的密码,当然它会告诉您禁止进入。
所以我问,这种行为正确吗?如果您首先输入正确的密码 + 任何其他字符,您是否可以输入?我怎样才能让 apache 检查输入的密码是否完全正确,而不是检查输入密码开头的正确密码。
我希望我已经以更清晰的方式解释了这个问题:)
答案1
您是否以经典的“crypt”DES 格式存储密码(14 个字符长,az、AZ、0-9、“。”和/或“/”字符,例如:“papAq5PwY/QQM”,加密密码中没有 $ 符号)?
如果你是,那就可以解释。该格式限制为 8 个字符,因此超过 8 个字符的任何内容都会被忽略。如果正确的密码是 8 个(或更多)字符,那么在末尾添加更多字符不会产生任何影响。
要修复此问题,请使用 MD5 或 SHA 来存储密码。如果您使用“ htpasswd”命令,请在设置密码时将“ -m”或“ ”添加到您的选项中。-s