[php] Zabezpieczenie plikow przed pobraniem, bez autoryzacji Opcje

[jol.us_]

Szukam sprawdzonej metody ograniczenie upload'u plikow. Chodzi o to aby osoba, ktora nie przeszla autoryzacji nie mogla pobrac plikow z okreslonego katalogu. Jezeli ktos przejdzie autoryzacje to ma dostep do pliku poprzez zwyklego linka.

Do tej pory zabezpieczalem pliki umieszczajac je w bazie danych i sprawa byla prosta, ale teraz musze to trzymac w katalogu na serwerze. Myslalem zeby moze nadac jakas tymczasowa nazwe w tymczasowym katalogu ale skad niby mialbym wiedziec kiedy taki plik skasowac (kiedy zakonczy sie pobieranie pliku).

Googlanie i przekopanie postow na forum nic nie dalo (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

[popo]

proponuje trzymac pliki w katalogu chronionym przed dostepem przez www i wysylac je za pomaca skryptu php tak samo jak z bazy tyle ze czytasz plik z katalogu zamiast z bazy a w bazie pamietasz tylko sciezki z nazwami plikow.

[jol.us_]

A dalo by sie cos wiecej. Jaki to niby mialby byc katalog? Poza httdocs czy po prostu odpowiedni chmod? W jaki sposob wyswietlic linka? Czy da sie np. wyswietlic tak zabezpieczonego jpg'a czy nie? Moze jakis pseudokod?

Ten post edytował jol.us_ 14.04.2006, 20:27:10

[dtb]

tworzysz tabelke w bazie danych o nazwie 'file_list':

id - unikalne id pliku
file - url do pliku

a potem: pobierz.php?id=ID_PLIKU aby rozpoczac sciaganie

kod pobierz.php:

[PHP] pobierz, plaintext 
<?php
if (...) { // tu sprawdza czy user jest zalogowany
  $r = mysql_fetch_array(mysql_query('SELECT * FROM file_list WHERE id='.$_GET['id'].''));
  if (file_exists($r['file'])) {
	header("Content-Type: application/force-download\n");
	header('Content-Disposition: attachment; filename='.$r['file']);
	readfile($r['file']);
  } else {
	header("HTTP/1.0 404 Not Found");
  }
} else {
  header("HTTP/1.0 404 Not Found");
}
?>
[PHP] pobierz, plaintext 

[jol.us_]

A katalog? chmod? Jesli tak to jaki?

A jesli autoryzacja bedzie na sesji czy tez ciastkach to nie dostane bledu w stylu naglowek juz zostal wyslany?

[dtb]

z tego co pamieta header'a nie mozna uzyc, gdy juz wyslales do przegladarki jakis tekst, a my nic nie wysylalismy przedtem.
pliki mozesz trzymac w katalogu 'files' a w bazie danych takie cos:

id | file
1 | files/plik.rar
2 | files/download.exe

chmod jest nie istotny. 644 powinno wystarczyc.

Ten post edytował dtb 14.04.2006, 20:55:49

[jol.us_]

chmod jest chyba jednak istotny, aby nikt nie tafil przez przypadek w dobry katalog i dobra nazwe pliku. Pewnie to by bylo trudne, ale nie niemozliwe.

Ten post edytował jol.us_ 14.04.2006, 20:41:53

[dtb]

ustawiasz w pliku .htaccess, ktory jest w folderze files "deny from all" i problem z glowy. nawet znajac sciezke do pliku nie sciagniesz go. jedynie przez pobierz.php

Ten post edytował dtb 14.04.2006, 20:47:39

[jol.us_]

bardzo mi pomogles, dziekuje.