Dostęp do pliku - kod dostępu Opcje

[majer12345]

Mam na serwerze pewne pliki. Chciałbym aby dostęp do nich był możliwy tylko po zweryfikowaniu kodu dostępu. Wykluczona musi być możliwość pobrania plików po wpisaniu bezpośredniego linka do pliku. Tylko i wyłącznie pobrać można jeśli zweryfikowany zostanie kod dostępu. HELP - kto pomoże?

Narazie zrobiłem weryfikację kodu dostępu taką jak poniżej.
1 - w formularzu wpisywany jest kod dostępu.
2- Kod porównywany jest z listą kodów
3- jeśli kod zostanie znaleziony to skrypt php includuje odpowiednią stronę z zawartością.

i teraz tak na tej stronie z zawartością mają być wyświetlone linki do .zip'ów
Trzeba to zabezpieczyć tak aby po wpisaniu bezpośredniego linku np. www.example.com/files/123.zip nie dało się pobrać tego pliku.
Powinien być mechanizm sprawdzania kodu.
Pobieranie zip'a powinno być możliwe tylko jeśli kod dostępu jest aktywny.
Jakieś pomysły?

może zamiast bezpośrednich linków dawać coś takiego
http://www.example.com/pobierz/123

i gdzieś w pliku tekstowym przypisać 123 ==> przykladowy.zip



ALBO

example.com/pobierz.php?plik=123&kod=KOD_DOSTEPU

i w pobierz.php sprawdzamy kod..



Ten post edytował majer12345 21.09.2011, 21:56:35

[mch.frnc]

Masz już jakiś swój kod? To pokaż, coś zaradzimy, z czym masz problem.
pzdr.

[dublinka]

No to ja nie kumam z czym problem bo wszystko masz juz zrobione praktycznie

Trzeba to zabezpieczyć tak aby po wpisaniu bezpośredniego linku np. www.example.com/files/123.zip nie dało się pobrać tego pliku.

'Nie bedzie skoro np wyslesz sesje z kodem'

Powinien być mechanizm sprawdzania kodu.

'to tez chyba nie takie trudne.Sprawdzisz sesje z tym co slesz w URL - mozesz poslac w URL kod i wtedy sprawdzic to co masz w URL i w sesji jesli ok to pobieranie jesli nie to wypad'

Pobieranie zip'a powinno być możliwe tylko jeśli kod dostępu jest aktywny.

'a tego to nie kumam.Jak aktywny ? to co wygasa Jesli wygasa to tez nie jest to sztuka bo jesli wygasnie a w cache bedzie to i tak nie pobierze bo bedzie sprawdzone czy jest takie samo a nie bedzie.

[majer12345]

MAM TAKI KOD

[PHP] pobierz, plaintext 
 
<?php
 
//PLIK Z KODEM
$filename="./xxTAJNExx/xxTAJNExx.TXT";
 
//ZMIENNA Z KODEM, KTÓRY DOSTAJEMY Z FORM'a
$kod = $_GET["x"]; 
 
 
  // split the string up into an array
  $file_array = array();
 
  $file = fopen($filename, 'rt');
  if($file)
  {
    while(!feof($file))
    {
      $val = fgets($file);
      if(is_string($val))
        array_push($file_array, $val);
    }	
    fclose($file);
  }
 
  //sprawdź kod
  $znalazlem_kod=0; 
 
  for($i = 0; $i < count($file_array); $i++)
  {
 
 
	if(strstr($file_array[$i], $kod)) //jeśli znajdziesz kod w pliku
	{
 
        	if($file_array[$i] == $kod . "\n") //jeśli znaleziony kod nie ma jeszcze timestamp na końcu
		{
			$znalazlem_kod = 1; 
			//jeśli znajdziesz kod to dopisz do niego |timestamp();
//			echo $file_array[$i];
			$timestamp = time(); 
			$file_array[$i] = $kod . "|" . $timestamp . "\n";
//			echo $file_array[$i];
		}
 
	if(strstr($file_array[$i],  $kod . "|"))  //jeśli znaleziony kod ma już na końcu timestamp
	{
		$znalazlem_kod=1;
 
		$line = $file_array[$i];
		$kod_timestamp = explode("|", $line); //rozbij całą linię z pliku na kod i timestamp, znak rozdzielając to |
//		echo $kod_timestamp[0] ."<br>".$kod_timestamp[1]; 
 
		if($kod_timestamp[1] < time() - (24 * 60 * 60)) //jeśli kod jest starszy niż 24 godziny
		{
			echo "kod za stary";
		}
		else //jeśli kod jest młodszy niż 24 godziny
		{	
//			echo "kod ok";
			include("index2"); 
		}
	}	
    	}
  }
 
  //jeśli sprawdziłeś wszystkie linie w pliku i nie znalazłeś kodu to zwróć error
  if($znalazlem_kod==0) 
  {	
	echo "brak kodu";   
  }
 
 
 
  // zapisanie kodu z timestamp'em do pliku. 
  $file_write = fopen($filename, 'wt');	
  if($file_write)
  {
    fwrite($file_write, implode("", $file_array));
    fclose($file_write);
  }
 
 
 
?>
 
[PHP] pobierz, plaintext 

i jeśli kod jest ok to includuje nam "index2" w którym to jest lista linków do .zip'ów
problem w tym że jeśli ten użytkownik, który się zautoryzował kodem skopiuje link do zipa i prześle go do swojego kumpla, to ten bez podania kodu będzie mógł pobrać zip'a, a właśnie przed tym chcę się zabezpieczyć.

[dublinka]

[PHP] pobierz, plaintext 
<?
 
//  załóżmy  że  każdy  plik  ma  jakieś  id,  przekazywane
//  w  zmiennej  $id
// <a HREF="download.php?id=1">plik nr 1</A>
 
if(!eregi("http://www.paczek-tlustyczwartek.pl/testy/maskowanie_url/",  $_SERVER['HTTP_REFERER']))
    die("Bu!  Nieładnie  kraść!");
 
switch($_GET['id']){
  case  1:
      $name  =  '1.zip';
      break;
  case  2:
      $name  =  'tajny_plik2.zip';
      break;
  default:
      die("Zły  numer");
}
 
header("Content-type:  application/octet-stream");
header("Content-Disposition:  attachment;  filename=$name");
readfile("tajny_katalog/$name");
?>
[PHP] pobierz, plaintext 

Tylko ze trzebaby bylo najpierw przejsc na te strone z linku bo nie wiem jak sie bedzie zachowywac jesli includniesz.REFERER sprawdzi z jakiego adresu bylo wejscie.
Procz tego mozesz zarejestrowac sesje jakies i tez w tym pliku ja sprawdzic

Ten post edytował dublinka 22.09.2011, 11:13:15

[nospor]

.REFERER sprawdzi z jakiego adresu bylo wejscie.

Na referer nie można liczyć. Raz, że niektóre firewalle go blokują, przez co uczciwy klient może zostać uznany za nieuczciwego, a dwa, że referer pochodzi od klienta i moża go łatwo modyfikować.

[majer12345]

[PHP] pobierz, plaintext 
<?
 
//  załóżmy  że  każdy  plik  ma  jakieś  id,  przekazywane
//  w  zmiennej  $id
// <a HREF="download.php?id=1">plik nr 1</A>
 
if(!eregi("http://www.paczek-tlustyczwartek.pl/testy/maskowanie_url/",  $_SERVER['HTTP_REFERER']))
    die("Bu!  Nieładnie  kraść!");
 
switch($_GET['id']){
  case  1:
      $name  =  '1.zip';
      break;
  case  2:
      $name  =  'tajny_plik2.zip';
      break;
  default:
      die("Zły  numer");
}
 
header("Content-type:  application/octet-stream");
header("Content-Disposition:  attachment;  filename=$name");
readfile("tajny_katalog/$name");
?>
[PHP] pobierz, plaintext 

Tylko ze trzebaby bylo najpierw przejsc na te strone z linku bo nie wiem jak sie bedzie zachowywac jesli includniesz.REFERER sprawdzi z jakiego adresu bylo wejscie.
Procz tego mozesz zarejestrowac sesje jakies i tez w tym pliku ja sprawdzic

Dzięki wielkie - takie zabezpieczenie mi wystarczy.
Jak uruchomię serwis to przyślę Ci kod dostępu

ok URUCHOMIŁEM
TYLKO DLA DOROSŁYCH

[zmoderowane]

Powód edycji: [nospor]:

[nospor]

skoro problem jest już rozwiązany i skoro strona zawiera treści erotyczne i skoro ciągle to odświeżasz, twój poprzedni post zostaje zmoderowany a temat zamknięty