[PHP]Dostęp do katalogu tylko ze skryptu php / jednorazowe linki Opcje

[dudek90]

Witam,

Mam pytanie: Czy istnieje możliwość zablokowania dostępu z zewnątrz do katalogu na serwerze?
Chodzi mi o to aby po wpisaniu bezpośredniego adresu w przeglądarce nie było do tego folderu dostępu, natomiast aby skrypt PHP, który znajduje się na serwerze miał do tego folderu swobodny dostęp.

I jeszcze jedno pytanie:
Mam skrypt, który po zapłaceniu odpowiedniej kwoty przez dotpay wyświetla link do pobrania pliku na serwerze.
Chciałbym natomiast zrobić tak aby po zapłaceniu odpowiedniej kwoty tak jak dotychczas wyświetlał się ten link natomiast już po pobraniu pliku link by wygasał.
Podobnie jeśli ktoś nie dokonał opłaty a wkleił link do paska adresu w przeglądarce to aby link był niekatywny (w efekcie czego nie można było by pobrać pliku).

Jak takie coś rozwiązać ?

Za wszelką pomoc z góry dziękuję (IMG:style_emoticons/default/smile.gif)

[Monter08]

Folder możesz zablokować poprzez htacces. A co do plików, to mógłbyś wykorzystać bazę danych i po prostu pobierać nazwę pliku i poprzez header() pobierać następnie usuwać rekord z bazy danych.

[dudek90]

Okej, zablokowałem dostęp do katalogu poprzez .htaccess natomiast niestety dostęp został zablokowany całkowicie.
To znaczy jeśli w skrypcie mam: header(Location: ....) i tu przekierowanie na dany plik z zablokowanego katalogu to niestety ale wyskakuje mi komunikat: Forbidden You don't have permission to access ....

Generalnie może jeszcze raz opiszę o co mi chodzi:

Mam katalog (powiedzmy, że nazywa się 'katalog') i w nim pliki: 'plik1', 'plik2', 'plik3'
W katalogu tym mam plik .htaccess o takiej treści:

[PHP] pobierz, plaintext 
Order allow,deny
Deny from all
[PHP] pobierz, plaintext 

Stworzyłem sobie testowy skrypt:

[PHP] pobierz, plaintext 
<?php
 
	if(isset($_POST['btn_pobierz']))
	{
		header("Location: http://".$_SERVER['HTTP_HOST'].rtrim(dirname($_SERVER['PHP_SELF']), '/\\')."/katalog/plik1"); 
	}
?>
<html>
<body>
<form action="" method="post">
	<input type="submit" name="btn_pobierz" value="Pobierz" />
</form>
</body>
</html>
[PHP] pobierz, plaintext 

Chodzi mi o to aby plik był otwierany tylko w momencie kliknięcia przycisku Pobierz.
To znaczy aby nie było do niego dostępu po bezpośrednim wpisaniu adresu do pliku w przeglądarkę.

Teraz jest tak, że gdy mam powyższy plik .htaccess to niestety ale przycisk pobierz nie działa (pojawia się komunikat, że brak dostępu) natomiast gdy nie mam .htaccess to plik można pobrać zarówno poprzez naciśnięcie przycisku pobierz jak i poprzez bezpośrednie wpisanie adresu do pliku w przeglądarkę.

Ten post edytował dudek90 2.05.2012, 12:06:20

[Kużdo]

Możesz skorzystać z mojego skryptu:

[PHP] pobierz, plaintext 
<?php
require_once 'db.php';
 
if(!isset($_GET['hash']) OR !preg_match('/^[a-f0-9]{32}$/', $_GET['hash']) OR !isset($_GET['id']) OR !preg_match('/^[0-9]+$/', $_GET['id']))
{
    header('Location: ' . $settings['domain']);
    exit;
}
elseif(isset($_GET['hash']) AND preg_match('/^[a-f0-9]{32}$/', $_GET['hash']) AND isset($_GET['id']) AND preg_match('/^[0-9]+$/', $_GET['id']))
{
    $hash = $_GET['hash'];
    switch($_GET['id'])
    {
        case '1':
            $settings['pdf_name'] = '1pdf';
            $settings['pdf_path'] = 'sciezka/do/pliku/1pdf.pdf';
            break;
        case '2':
            $settings['pdf_name'] = '2pdf';
            $settings['pdf_path'] = 'sciezka/do/pliku/2pdf.pdf';
            break;
        case '3':
            $settings['pdf_name'] = '3pdf';
            $settings['pdf_path'] = 'sciezka/do/pliku/3pdf.pdf';
            break;
        case '4':
            $settings['pdf_name'] = '4pdf';
            $settings['pdf_path'] = 'sciezka/do/pliku/4pdf.pdf';
            break;
        case '5':
            $settings['pdf_name'] = '5pdf';
            $settings['pdf_path'] = 'sciezka/do/pliku/5pdf.pdf';
            break;
        default:
            $error = 'Nieprawidlowy link! Jesli nic nie zmieniales w adresie, to skorzystaj z formularza kontaktowego na stronie i poinformuj o bledzie Administratora.';
            break;
    }
    if(isset($error) AND $error != '')
    {
        exit($error);
    }
    $query = "SELECT `dodatki` FROM `" . PREFIX . "zamowienia` WHERE `control` = '{$hash}' LIMIT 1";
    $result = mysql_query($query);
    if(!mysql_num_rows($result))
    {
        exit('Nieprawidlowy link! Jesli nic nie zmieniales w adresie, to skorzystaj z formularza kontaktowego na stronie i poinformuj o bledzie Administratora.');
    }
    $row = mysql_fetch_array($result);
    if($row['dodatki'] < '10')
    {
        $ile = $row['dodatki'] + 1;
        $query = "UPDATE `" . PREFIX . "zamowienia` SET `dodatki` = '{$ile}' WHERE `control` = '{$hash}'";
        $result = mysql_query($query);
        if(mysql_affected_rows())
        {
            $name = basename($settings['pdf_path']);
 
            $size = filesize($settings['pdf_path']);
 
            header('Pragma: public');
            header('Pragma: no-cache');
            header('Expires: 0');
            header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
            header('Cache-Control: public ');
            header('Content-Description: File Transfer');
 
            header('Content-Type: application/force-download');
 
            header('Content-Disposition: attachment; filename="' . $settings['pdf_name'] . '.pdf"');
 
            header('Content-Transfer-Encoding: binary');
            header('Content-Length: ' . $size);
 
            readfile($settings['pdf_path']);
            exit;
        }
    }
    else
    {
        exit("Nistety, ale wykorzystałeś swój limit pobierania.");
    }
}
?>
[PHP] pobierz, plaintext 

Jest to wycinek całego skryptu, ale z pewnością wystarczy Ci do zastosowania u siebie. User nigdy nie pozna prawdziwej ścieżki do pliku, a Ty możesz generować mu nazwy plików dowolne, nie zmieniając przy tym nazwy prawdziwego pliku. Dodatkowo jest tu wymuszone pobieranie pliku, więc nie otworzy się on w przeglądarce. A nawet jeżeli otworzyłby się w przeglądarce, to link i tak nie będzie prawdziwy do pliku. Linki są generowane po zapłacie i wysyłane na maila do klienta, natomiast rozwiązać możesz to w dowolny sposób. Generować i wyświetlać, wysyłać, etc... Ważnym jest tylko to, aby linki (a w sumie sumy kontrolne) były generowane po poprawnej zapłacie (kod OK z dotpaya) i wtedy wysyłane/pokazywane klientowi. Link nawet gdyby został skopiowany, to po wykorzystaniu limitu jest bezużyteczny. W skrypcie też ustawiasz ile razy można pobrać plik, akurat tutaj wkleiłem Ci część od dodatków do głównego produktu i tutaj jest limit 10 pobrań na wszystkie łącznie dodatki, czyli jak pobierze 1 plik 10 razy, to żadnego innego już nie pobierze. Wyliczyć można łatwo, że można każdy plik pobrać 2 razy (IMG:style_emoticons/default/wink.gif) 2 razy to limit zapasowy, gdyby np. klientowi padł net, przerwało się połączenie lub sam przypadkowo anulował pobieranie.

Ten post edytował Kużdo 2.05.2012, 13:43:37