Discussion :

[kiko26]

Bonjour à tous

J'ai mis en place la fiche pratique de Bob : sécuriser son site en PHP du 5 mars 2004

Cela fonctionne bien.

J'ai néanmoins un petit problème que je vous explique :
une des pages sécurisées grâce à la fiche de Bob, contient des liens directs sur des fichiers PDF qui ne doivent être vus que par ceux qui ont le s droits (login/pwd).
par exemple
http://monsiteweb/pagesecurisee.php (le login/pwd est demandé)
contenant des liens directs vers
http://monsiteweb/fichiersproteges/fichier1.pdf
http://monsiteweb/fichiersproteges/fichier2.pdf

Or, si qqun donne l'url d'un fichier protégé à une 2ème personne (ex: http://monsiteweb/fichiersproteges/fichier1.pdf), cette dernière pourra lire le fichier pdf sans qu'un login/pwd ne lui soit demandé.

Y a-t-il un moyen de protéger les fichiers eux-mêmes pour les utilisateurs qui pointeraient directement le navigateur sur l'URL ??

Pour sécuriser, j'utilise une base mysql avec plusieurs login/pwd.

L'idéal serait un .htaccess dans le répertoire http://monsiteweb/fichiersproteges/ ????

mais comment faire en sorte que si je créé de nouvelles personnes dans la base de données mysql, elles soient intégrées dans le .htaccess ??

J'espere que vous avez compris mon problème, et que quelqu'un pourra m'aider !

merci beaucoup

[bbmt]

si tu met un htaccess du style deny from all, toute requete http vers le repertoire seront refusées mais tes scripts pourront quand meme aller dans le repertoire car php n'accede pas au repertoire par des requettes http mais par les acces au fichier du systeme.

[kiko26]

merci pour ta reponse bbmt

j'ai mis un .htaccess dans le répertoire
http://monsiteweb/fichiersproteges/.htaccess
avec un deny from all dedans.

Depuis plus personne ne peut ouvrir un seul fichier ex:
http://monsiteweb/fichiersproteges/fichier1.pdf

même si la personne s'est loggé correctement avec http://monsiteweb/pagesecurisee.php.

Tu dis que les requetes http sont refusées, et tu as parfaitement raison.
C'est ce qui se produit, puisque ma page sécurisée ne contient que des liens http vers les documents que je souhaite sécuriser aussi.

Le problème reste entier pour moi.

y a-t-il un autre moyen svp ?
merci

[loufoque]

Déplace ton fichier pdf dans un sous-repertoire en deny from all.
Créé ensuite un fichier download.php?file=truc qui va chercher truc dans ce repertoire et qui vérifie qu'on est loggué.

[kiko26]

ok, je teste ça demain matin.
merci