mod_auth 密碼驗證錯誤？

我有一個在 debian lenny 中執行 apache2 的伺服器。

受.htaccess 保護的文件夾發生了一些奇怪的事情。

基本上，如果您輸入了錯誤的密碼，但由 the_correct_password + _more_chars 組成，它會讓您輸入。如果您以其他方式輸入錯誤的密碼，當然它會告訴禁止。

所以我問，這種行為正確嗎？如果您先輸入正確的密碼+任何其他字元讓您輸入？我怎樣才能讓apache在輸入密碼的開頭檢查一個完全正確的密碼而不是一個正確的密碼。

我希望我以更清楚的方式解釋了這個問題:)

您是否以經典的“crypt”DES 格式儲存密碼（14 個字元長，az、AZ、0-9、“.”和/或“/”字元，例如：“papAq5PwY/QQM”，沒有 $ 登錄加密密碼）？

如果你是，那將解釋它。該格式限制為 8 個字元，因此超過 8 個字元的任何內容都會被忽略。如果正確的密碼是 8 個（或更多）字元，則在末尾添加更多字元不會有任何影響。

要修復它，請改用 MD5 或 SHA 來儲存密碼。如果您使用“ htpasswd”命令，請在設置密碼時將“ -m”或“ -s”添加到您的選項中。

引用自：https://serverfault.com/questions/180256