? Ganzes Verzeichnis mit PHP schützen ?

[NoFate]

Hi Community,

ich bin's mal wieder und - wie immer - mit einem kleinen Problem. Ich bau gerade an einer Community, in der jeder registrierte User auf ganz bestimmte Dateien zugreuifen kann. Ist ja bis hierhin kein Prob. Das Dumme ist nur, dass es sich bei den Dateien um PDF-Dokumente handelt. Sollte ein Bösewicht also die genaue URL der Datei herausfinden, so kann er die auch herunterladen.

Meine Frage also:
Kennt jemand eine Möglichkeit, das Dokumentenverzeichnis so zu schützen, dass nur ein Benutzer mit aktiviertem Cookie (USERID) in das Verzeichnis kommt???

Bin für Eure Vorschläge und Lösungen wie immer dankbar.

Best Regards
NoFate

 

[JoelH]

hmm,

schonmal an .htaccess gedacht bzw. angeschaut ?

 

[F.o.G.]

Hmm,
das geht mit PHP allein nicht. Du solltest hierfür die .htaccess benutzen und das ganze so sperren. Ich weiß nur nicht, wie du das ganze dann abrufbar machen kannst.

Zum Beipspiel kannst du folgendes machen:
Sperr dein Verzeichnis per .htaccess und füge die Regel (Deny from... / Allow from ...) hinzu, dass nur der Server unbeschränkten Zugriff auf die Dateien hat.

Wie das geht erfährst du hier.

Hoffe geholfen zu haben.
Ciao, F.o.G.

 

[F.o.G.]

JoelH: er weiß vielleicht nichts über dieses Thema. Ich finde deine Antwort etwas überheblich und sie hilft ihm keineswegs weiter, ausser dass er ein Schlagwort mehr kennt.

Wenn du schon antwortest, dann bitte mit Informationen drin.

Auf diesem Board wird oftmals moniert, dass User bestimmte Regeln verletzen, wenn sie Fragen stellen, bzw. nicht genug recherchieren bevor sie fragen. Ähnliche Regeln sollten aber auch für die Antworten gelten, denn sonst ekelt man User vom Board.

Meine Meinung!

Ciao, F.o.G.

 

[NoFate]

Hi,

danke für die Tipps. An .htaccess hab ich ja auch schon gedacht. Vielleicht habe ich mich aber auch nicht klar ausgedrückt. Ein User (authentifiziert über php/mysql) klickt in seinem Benutzerbereich auf eine PDF-Datei, die ihm dann in einem neuen Fenster angezeigt wird.
Ich möchte also, dass die Datei nur aus dem Benutzerbereich zu laden ist. Kennt jemand dafür die Löung?

Wie immer vielen Dank für die Posts!

Best Regards
NoFate

 

[F.o.G.]

Ich könnte mir vorstellen, dass oben genannte Lösung funktionieren könnte. Dann könntest du dein Script so programmieren, dass du die angeforderte Datei temporär in ein Verzeichnis kopierst und dann zum Download anbietest. Allerdings ist das ganze auch wieder kompliziert.

Hmm, eine 100 prozentig richtige Lösung fällt mir spontan nicht ein. Kann man die Datei nicht vielleicht mit einem header() Befehl quasi unter der .htaccess durchtunneln? Wenn das gehen würde, wäre das der perfekte Schutz.

Aber das ist nur eine Vermutung.

Ciao, F.o.G.

 

[JoelH]

hmm,

das hatte nix mit Überheblichkeit zu tun, das war alles was mir auf anhieb eingefallen ist, ein Denkanstoss nicht mehr und nicht weniger.

 

[Bomber]

hm.

du könntest die pdf docs ja auch vom server auslesen, und in einem neuen pdf an den user schicken lassen.

dann passt der vorschlag mit deny/allow.

 

[NoFate]

Hi,

falls es wen interessiert, ich habs hinbekommen. Die Datei wird per include-Befehl in eine Datei geladen und per id ausgewählt (show.php?id=n). Dokument und Benutzer sind mit einander verbunden, es ist also nicht möglich eine Datei anzusehen, die einem Benutzer nicht gehört.
Beim Speichern der Datei erscheint also nicht der eigentliche Dateiname (xyz.pdf), sondern show_php.pdf. Fragt nicht warum, aber es tuts. Per header-Befehl wurde nur noch festgelegt, dass es sich bei dem Angezeightenm Dokument um eine PDF-Datei handelt.

Feddich. Zum ersten Mal ausgetirckst den Webserver *gg*

Grüße

NoFate