Zugriffsrechte bei Upload Script

B

brainsucker

Erfahrenes Mitglied
Hallo zusammen,

ich habe mir ein einfaches Uploadscript zusammengestellt mit den üblichen Features: Dateityp, Dateigröße prüfen, umbenennen falls Datei schon vorhanden ertc. Es funktioniert auch soweit.

Nun möchte ich das Ganze natürlich auch etwas absichern. Das Script findet in einem Portal Verwendung, Dateien die hochgeladen werden gehören daher einem bestimmten Benutzer und sind einem Kunden und einer Abteilung zugeordnet.

D.h. User die Zugriffsberechtigungen auf diesen Kunden und Abteilung haben sollen dieses Dokument öffnen dürfen.

Wie stell ich das aber sicher? Die Dokumente werden in bestimmte Verzeichnisse geladen (Dokumente/Kunde/Abteilung). Falls ein Verzeichnis noch nicht existiert wird mittels mkdir("Verzeichnisname", 0777); dieses erstellt.

777 Heisst ja aber: Vollzugriff. Jeder der den Dokumentnamen samt Verzeichnis kennt oder erät hätte also Zugriff darauf oder?

Was kann ich tun um das zu verhindern ?
 
Hi und frohes neues. :)

Also mir fallen direkt 2 Möglichkeiten ein.

1. Du schützt das Verzeichnis mit htaccess, damit von Außen keiner zugreifen kann. Danach erstellst du eine "PHP-Datei", die die hochgeladenen Dateien raus gibt ohne den Standort zu verraten. Außerdem steuerst du mit einem Auth-System wer welche Dateien kriegen darf.

2. Du legst in das jeweilige Verzeichnis eine entsprechende htaccess datei mit passwort schutz rein und nur die Benutzer, die Zugriff haben kriegen das Passwort.

andere Möglichkeiten fahlen mir spontal leider nicht ein, aber vielleicht hat ja noch wer ne Idee.

MfG koctja
 
Hm..

Ich denke dass es wohl gescheiter wäre, die datein durch eine PHP-Datei ausgeben zu lassen ( Sprich zum Download bereit zu stellen ) und die Rechte so zu modifizieren das sie nicht Vollzugriff gewähren sondern nur der Datei die Rechte geben.

LG XerY
 
Wie wäre es wenn ich nach dem Upload mittels chmod die Rechte generell auf 0 setze. Möchte ein User ein Dokument aufrufen, wird geprüft ob er berechtigt ist, falls ja wird der status wieder auf 777 gesetzt und im Anschluss wieder auf 0 ?
 
dürfte über meta gehen, du simulierst mit php eine Datei. Wie genau das geht kann ich dir gerade nicht ausm Ärmel schütteln. Aber ich habe das genau bei meinen pdf's und Bildern gemacht. Du leitest den Inhalt der Datei einfach an den User weiter, sagst dem Browser über header() aber um welchen Dateityp es sich handelt.

http://de2.php.net/manual/de/function.header.php

In jedem Fall würde ich aber die chmod auf mindestens 644 setzen und das Verzeichnis vielleicht noch mit htaccess schützen.

MFG koctja
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück