[PHP] Plan na przechowywanie plików -proszę o krytykę- Opcje

[Morfi777]

Hej!

Chciałem napisać skrypt do zarządzania plikami w którym nie byłoby ograniczeń co do rodzaju pliku, wobec tego żaden z nich nie może być dostępny pod direct link.
System powinien też móc ograniczyć możliwość ściągnięcia pliku: gościom/użytkownikom/grupom.

Najlepszą opcją zakładam, że byłoby secure_download(nginx) lub mod_secdownload (lighthttpd), ale zakładam, że nie mam dostępu do webserwera a provider jest siusiakiem i nie będzie robił wyjątków ani nie dogra tego.

Chciałbym mieć możliwość wrzucania dowolnych rodzajów plików. Pomysł jest następujący.
Tworzę katalog /files/ który dostaje Auth (zabezpieczenie direct linkowania, jako Auth rozumiem mod_auth w apache lub odpowiednik).
plik dl.php?path=__________ będzie służył do wyciągania plików z katalogu /files/

[PHP] pobierz, plaintext 
<?php
 
function CheckAuth($sess)
{
    ble ble ble...
    return $dir;
}
 
$access = CheckAuth($_SESSION[costam]);
 
$file = 'files/' . $access . str_replace(array(chr(0),'../'), '', $_GET["file"]);
 
if (file_exists($file)) {
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename='.basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    ob_clean();
    flush();
 
 
    readfile($file);
    exit;
}
else
	die('no cze');
 
?>
[PHP] pobierz, plaintext 

Plik sprawdza poziom dostępu wrzucając użytkownika do oddzielnego katalogu (oczywiście będzie to rozwiązane mądrzej, ale zamysł ten sam -- przydzielanie dostępu do dir po sesji), geta też nie będzie, ale escape`y zostają.

Listowanie plików z bazy danych (nie z listowania dir).



To taki szybki zamysł, a może mamy coś lepszego ? (IMG:style_emoticons/default/smile.gif)


Dzięki!

Ten post edytował Morfi777 5.12.2011, 17:31:33

[vokiel]

Ja bym był za listowaniem plików z bazy bo przy tym masz pełno możliwości kontroli dostępu. Do tego, zamiast podawać ścieżkę do pliku i jego nazwę możesz przekazywać id. Czyli linki byłyby mniej jawne, np dl.php?file=28374278234. Ścieżkę do pliku odnajdziesz sobie w bazie po id, przy okazji sprawdzisz uprawnienia itd. Na koniec będziesz miał lepszą kontrolę tego co jest w systemie, kto do czego ma prawa itd. Jakiekolwiek statystyki będą dużo łatwiejsze. Problem może się pojawić tylko wtedy, gdy ktoś ręcznie będzie mieszał w bazie lub na dysku.