[Sécurité] Système de consultation de fichier [Résolu]

[knoxville]

Bonjour à tous,
Pour mon site internet je developpe un petit systeme de gestion de fichiers.
Dans ce système, certains utilisateurs (qui se loggent au prealable) peuvent telecharger le contenu que de certains dossiers. Or en l'etat actuel si une personne lambda tape l'url à la main elle a accès au fichier.
Je pensais pouvoir proteger le dossier avec un htaccess mais l'utilisateur doit alors se logger une deuxieme fois ce qui est penible. Comment puis-je remedier à ceci afin que l'utilisateur ne se logge qu'une seul fois ?
Je précise que l'utilisateur est stocké dans une base de donnée (ainsi que son mot de passe) et que il se logge par l'intermediaire d'une session php.

Merci d'avance de vos réponses... Une fois que j'aurais résolu ce problème j'aurais fini mon projet

[max44410]

Citation:

Envoyé par knoxville

Bonjour à tous,
Pour mon site internet je developpe un petit systeme de gestion de fichiers.
Dans ce système, certains utilisateurs (qui se loggent au prealable) peuvent telecharger le contenu que de certains dossiers. Or en l'etat actuel si une personne lambda tape l'url à la main elle a accès au fichier.
Je pensais pouvoir proteger le dossier avec un htaccess mais l'utilisateur doit alors se logger une deuxieme fois ce qui est penible. Comment puis-je remedier à ceci afin que l'utilisateur ne se logge qu'une seul fois ?
Je précise que l'utilisateur est stocké dans une base de donnée (ainsi que son mot de passe) et que il se logge par l'intermediaire d'une session php.

Merci d'avance de vos réponses... Une fois que j'aurais résolu ce problème j'aurais fini mon projet

tu affiches le lien seulement si la variable de session existe (autrement dit seulement si l'utilisateur est logué)

[knoxville]

Citation:

Envoyé par max44410

tu affiches le lien seulement si la variable de session existe (autrement dit seulement si l'utilisateur est logué)

Non je ne peus pas proceder ainsi, en faite chacun des utilisateurs a son dossier et les autres utilisateurs loggé ne doivent pas pouvoir avoir accès aux dossiers des autres par l'url.

De plus dans la solution que tu me proposes ils doivent quand même se logger une deuxieme fois !

[haltabush]

Il faut que tu créé un fichier htaccess qui interdise l'accès à tous le contenu du dossier, sauf un fichier download.php
Dans celui-ci, tu verifie la session utilisateur et tu fait un readfile du fichier que tu dois afficher.

[knoxville]

Citation:

Envoyé par haltabush

Il faut que tu créé un fichier htaccess qui interdise l'accès à tous le contenu du dossier, sauf un fichier download.php
Dans celui-ci, tu verifie la session utilisateur et tu fait un readfile du fichier que tu dois afficher.

Merci bien pour ta réponse ! Je vais tester ça !!!
ps: avec le readfile je peux downloader ??

[max44410]

Citation:

Envoyé par knoxville

Non je ne peus pas proceder ainsi, en faite chacun des utilisateurs a son dossier et les autres utilisateurs loggé ne doivent pas pouvoir avoir accès aux dossiers des autres par l'url.

De plus dans la solution que tu me proposes ils doivent quand même se logger une deuxieme fois !

je pense que tu peux le faire...
je suppose que tu as stocké dans ta bdd le nom des repertoires de chaque utilisateur, non ??

dans ce cas :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if (isset($_SESSION['logged']))
{
echo "<a href=\"./".$_SESSION['rep_uti']."/\">lien vers repertoire</a>";
}

[haltabush]

@Max : Non, ce qu'il veut, ce n'est pas seulement cacher les liens mais empecher l'utilisateur d'arriver sur le fichier en tapant directement l'url dans sa barre d'adresse. Il faut un truc un peu plus robuste

[max44410]

Citation:

Envoyé par haltabush

@Max : Non, ce qu'il veut, ce n'est pas seulement cacher les liens mais empecher l'utilisateur d'arriver sur le fichier en tapant directement l'url dans sa barre d'adresse. Il faut un truc un peu plus robuste

Oki,

il me semble qu'il existe des fonction PHP pour ouvrir des dossiers proteger par htaccess, c'est un peu plus presentable que la popup qui s'ouvre pour l'authentification ...

PHPhtaccess free