Pobranie wszystkich plików z folderu bez znania ich nazw Opcje

[athabus]

Witam,

pracuję nad skryptem, który ma udostępniać możliwość pobrania faktury z serwera. Skrypt będzie trochę bardziej złożony, ale dla uproszczenia załóżmy, że plik ma nazwę składającą się z 20 znaków (losowych). Klient dostaje link do swojego pliku, który znajduje się w folderze rok/miesiąc/dzień/nazwa_pliku.pdf

I tu rodzi się pytanie - czy istnieje możliwość, że ktoś pobierze wszystkie pliki z danego folderu (czyli potencjalne faktury innych klientów) nie znając ich nazw - oczywiście pomijając atak typu brute-force, bo przy takiej długości nazwy trafienie w nazwę pliku wymagałoby miliardów zapytań do serwera?

A może macie jakiś pomysł na bezpieczniejsze umożliwianie pobrania faktur?

[vieri_pl]

Najlepiej by każdy klient w miejscu gdzie przetrzymujesz dane o nim miał jakiś hashkey, secure key - coś w tym stylu.

Klientowi dajesz link w stylu:

http://www.domena.pl/faktura/23/4624116c8f...2817761ad15c15/

Wtedy 23 to np. id_customer, po tym jest secure_key, porównujesz czy secure key jest zgodny z ID klienta i dopiero wtedy "wypluwasz" mu .pdf

W katalogu z .pdf dać .htaccess:

Kod

<Files ~ "\.pdf$">
  Order allow,deny
  Deny from all
</Files>

[pyro]

Najlepiej by każdy klient w miejscu gdzie przetrzymujesz dane o nim miał jakiś hashkey, secure key - coś w tym stylu.

Klientowi dajesz link w stylu:

http://www.domena.pl/faktura/23/4624116c8f...2817761ad15c15/

Wtedy 23 to np. id_customer, po tym jest secure_key, porównujesz czy secure key jest zgodny z ID klienta i dopiero wtedy "wypluwasz" mu .pdf

Taaaa... i niepotrzebnie zdradzać w linku ID klienta. A o tym "secure key" już sam autor napisał.

W katalogu z .pdf dać .htaccess:

Kod

<Files ~ "\.pdf$">
  Order allow,deny
  Deny from all
</Files>

No pewnie. Jeśli nie chcemy, żeby ktoś niedobry pobrał fakturę to niech nikt jej nie pobiera. Nawet klient, do którego ta faktura przysługuje (IMG:style_emoticons/default/arrowheadsmiley.png)