我有一台服务器在debian lenny中运行apache2。
由.htaccess保护的文件夹会发生一些奇怪的事情。
基本上,如果你input一个错误的密码,但由the_correct_password + _more_chars组成,它让你进入。 如果你以其他方式input不正确的密码,当然它会告诉禁止的。
所以我问,这是正确的行为? 如果你先input正确的密码+其他字符,让你input? 我怎样才能使Apache检查一个完全正确的密码,而不是在input的密码开始正确的密码。
我希望我已经以更清晰的方式解释了这个问题:)
您是否将密码存储为经典的“crypt”DES格式(14个字符长,az,AZ,0-9,“。”和/或“/”字符,如:“papAq5PwY / QQM”,没有$符号encryption的密码)?
如果你是,那会解释它。 该格式限制为8个字符,所以任何过去的8个字符被忽略。 如果正确的密码是8(或更多)个字符,在末尾添加更多的字符将不会有所作为。
要修复它,请使用MD5或SHA来存储密码。 如果您使用的是“ htpasswd ”命令,请在设置密码时将“ -m ”或“ -s ”添加到您的选项中。