htaccess

[Soapp]

Ich habe für eine Seite eine Login Maske gemacht ..

Passwort und User liegen in einer Datenbank ..

Nun liegen in einem Ordner Word Dokumente

z. Bsp.: http://www.meineseite.de/docs/1.doc

Wie kann ich diese schützen

Der User kann das doch einfach in den Browser eingeben.

Kann ich sagen:

Wenn eine bestimmte Sessionvariable nicht gesetzt ist dann hat der User keinen
Zugriff auf den Ordner ?

Danke

Soapp

 

[motb]

Ich würde sagen die einfachste Version wäre die eine .htaccess/.htpasswd Datei zu verwenden welche die Zugangsinformationen enthält.

Oder du legt die Dateien in einem "versteckten" Ordner ab und gibt die Datei via PHP zurück an den User. Dann sieht er nie wo die Datei wirklich liegt und kann sie nicht erraten.

Mit PHP würde das dann so ausschauen [Pseudocode]

if (SESSION) {
  header("Content-Type: application/octet-stream");
  header("Content-Disposition: attachment; filename=\"doc1.doc\"");
  header("Content-Length: 12345");
  passthru("doc1.doc");
}

 

[JohannesR]

Ich würde die Datei bestenfalls ausserhalb des Docroots ablegen oder den entsprechenden Ordner per htaccess schützen.

 

[Soapp]

.. das Problem ist, dass ich nicht will, dass die Leute 2 mal ein Passwort eingeben müssen.
beim einloggen, und dann nochmal beim zugriff auf den Ordner ...

ich glaube passthru ist bei meinem provider deaktiviert

 

[motb]

.. das Problem ist, dass ich nicht will, dass die Leute 2 mal ein Passwort eingeben müssen.
beim einloggen, und dann nochmal beim zugriff auf den Ordner ...

ich glaube passthru ist bei meinem provider deaktiviert

Dann evtl. fpassthru()?

Ansonsten mit .htaccess schützten und mittels PHP auf die Datei weiterleiten.
Username & Passwort irgendwie im Header mitgeben.

Weiss jetzt allerdings nicht sicher ob das funktioniert, und ob man das dann evtl. auslesen kann.