Protéger un sous répertoire et son contenu d'un accès direct

**Baldy** · 18/11/2008, 10h10

Bonjour

Ayant vu une faille sur un site je me suis empresser de la corriger. En effet le sous répertorie "upload" était accessible librement. Pour celui ci j'ai simplement corrigé le soucis en y mettant une page index.html avec une rediction automatique vers l'index de l'accueil du site. Mais les fichiers sont toujours accessibles si on connait leur nom.

Sachant que le site est acessible uniquement via un login/mdp, comment devrais procéder si je veut empêcher l'accès à ces fichiers SAUF si on est loggé correctement?

Merci

**marcha** · 18/11/2008, 13h27

Salut,

Tu peux faire ainsi:

1) tu mets un .htaccess qui interdit l'accès http
2) tu crée une page php hors de ce dossier qui permet de servir les fichiers.
par exemple: download.php?file=nom_du_fichier et dans ton code tu vérifie
la session et tu sers le fichier avec readfile par exemple. (ajoute les headers
appropriés)
3) (éventuellement) tu fais un url rewriting pour redonner des urls similaire à avant.
dans le genre: /fichiers/toto.jpg => /download.php?file=toto.jpg

dans download.php un peu de sécurité s'impose pour éviter de permettre à tes
utilisateurs de télécharger des fichiers ailleurs que depuis le dossier voulu.

**Baldy** · 18/11/2008, 13h55

J'ai tenté l'idée du .htaccess mais evidemment ça bloque aussi l'accès aux fichiers (PDF dans le cas précis) quand on veut les consuklter via le site en étant correctement logué.

Maintenant je ne suis pas sur d'avoir compris ton idée avec le fichier annexe

**marcha** · 18/11/2008, 14h16

Envoyé par Baldy

Maintenant je ne suis pas sur d'avoir compris ton idée avec le fichier annexe

C'est la clé du problème

en bloquant complètement un répertoire avec un .htaccess tu empêche apache
de servir son contenu.

par contre tu peux aller lire les fichiers depuis php. Il y a plusieurs manières de
faire, mais regarde déjà un peu la fonction readfile celle-ci
permet de lire un fichier sur le disque et de l'envoyer au client.

Regarde les exemples dans la doc, tu verra c'est pas sorcier

**Baldy** · 18/11/2008, 14h40

Dis moi si j'ai bien compris le principe.

La fonction permet de mettre les infos du fichier concerné en mémoire et les retransmet ensuite au poste client?

**marcha** · 18/11/2008, 15h21

oui c'est juste.

sauf que le fichier n'est pas chargé dans son entier en mémoire avant d'être envoyé, cela se passe par paquets pour éviter d'utiliser trop de mémoire. (un flux avec un tampon) mais la manière exact du fonctionnement change rien à
la solution :-)

C'est assez similaire à ce qu'apache fait quand il sert un fichier en fait.

**Baldy** · 18/11/2008, 15h28

Donc ultime question : est ce que je peut mettre un fichier .htacess dans le répertoire pour empêcher tout accès non voulu, et utiliser la fonction readfile pour afficher le PDF voulu sans que ça bloque?

**marcha** · 18/11/2008, 15h39

Oui, pour autant que le fichier php qui contient le readfile ne soit
pas dans le dossier bloqué

par exemple:

/fichiers/
- .htaccess
- toto.pdf
- titi.pdf

/download.php

dans download.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<?php
$file = $_GET['file'];
header('Content-type: ...');
header('Content-length: ...');
readfile('fichiers/'.$file);
?>

ensuite les liens qui permettent d'accéder aux pdf ne sont plus
du genre: http://www.tonsite.com/fichiers/toto.pdf mais
http://www.tonsite.com/download.php?file=toto.pdf

mais avec l'url rewriting tu pourrais demander à apache
de transformer automatiquement les liens, et ne faire
aucun changement d'urls.

**ThomasR** · 18/11/2008, 15h40

Bonjour,

Oui, pour autant que le fichier php qui contient le readfile ne soit
pas dans le dossier bloqué

readfile fonctionnera quand même car il est lancé à partir du serveur, ce n'est pas une requête venant de l'extérieur.

**marcha** · 18/11/2008, 16h10

Envoyé par ThomasR

Bonjour,
readfile fonctionnera quand même car il est lancé à partir du serveur, ce n'est pas une requête venant de l'extérieur.

@ThomasR, Relis bien ce que j'ai écrit.

Bien sur que readfile fonctionnera quand même. mais la page download.php
sera inaccessible si elle est dans le dossier protégé.

**Baldy** · 19/11/2008, 15h04

Bon alors pour tetner de finaliser mon affaire je voudrais une dernière réponse.

A l'heure actuelle le lien renvoi vers une page de traitement qui au final fait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Location: ...");

Donc le fichier est affiché dans une nouvelle page ou un lien de téléchargement est lancé (si c'est un .dic par exemple).

Donc si dans ce même fichier je remplace le header par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$file = $_GET['file'];
readfile('fichiers/'.$file);

Il ne me reste plus qu'à remplacer mon lien par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="download.php?file='.$file.'">

J'ai bon?

**marcha** · 20/11/2008, 09h21

Oui, ça me semble correct.

Tu peux tester en tapant directement l'url download.php?file=toto.pdf
Ce qui doit te charger ton fichier toto.pdf

Ensuite il te faudra ajouter toi-même les headers appropriés. (ce que
fait apache quand tu demande un fichier, mais qu'il ne fait pas dans ce
cas là)

Surtout le Content-type et le Content-length, un exemple de download.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
<?php
  $file = $_GET['file'];
  $pi = pathinfo($file);
  // ajouter de la sécurité ici pour interdire au client de choisir des chemins remontants (../../etc/passwd) :-)
  $ext = $pi['extension'];
  if($ext=='pdf') $mimeType = 'application/pdf';
  else die(); // voir améliorations ci-après
  $path = 'fichiers/'.$file;
  $size = filesize($path);
  header("Content-Type: $mimeType");
  header("Content-Length: $size");
  readfile($path);
?>

Ensuite tu peux améliorer ceci avec pleins d'options sympa.

1) Gestion du cache basé sur la date de modification des fichiers (filemtime)
2) Gestion des erreurs si les fichiers sont pas trouvés (404, ou fichier par défaut)
3) Gestion du taux de download (readfile convient pas pour ça)
4) Url rewriting pour que tes liens download.php?file=toto.pdf redeviennent dans
le genre /downloads/toto.pdf
5) Et bien sur... renvoyer un code HTTP approprié si l'utilisateur n'est pas logué.

A ce propos il me semble que le code 401 est utilisé pour ça, mais dans le cas
d'un login géré par php et non par apache je ne sais pas si ce code est utilisable,
qqn a une idée ?

**Baldy** · 20/11/2008, 10h49

Je suis perdu je crois ^^

Je vais essayer de vous expliquer ce qui est en place actuellement
J'ai un page qui liste les différents fichiers voulus et affiche un lien pour chacun

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo '<a href="compteur_upload.php?rubrique_id='.$rubrique_id.'&amp;fichier_upload_id='.$fichierUp['fichier_upload_id'].'" target="_blank">'.stripslashes($fichierUp['fichier_upload_titre']).'</a><br />' ;

Ce lien renvoi les informations vers une seconde page qui, après requêtes et traitement, a cette fin de code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$lien = "Location: http://www.monsite.fr/upload/".$nbCompt['fichier_chemin'];
// Redirection vers le lien sélectionné
header($lien);
die();
echo "Le lien n'a pu &ecirc;tre trouv&eacute;.";

Ce qui a pour effet d'ouvrir une nouvelle page/onglet vers le fichier (ou bien une fenêtre de téléchargement si c'est un .doc, .xls, etc...).

Et c'est là que je ne sais pas quoi modifier.

**marcha** · 20/11/2008, 11h24

Salut,

Je pense que cette page de redirection ne sert plus à rien

je vois le terme "upload" dans tes liens, tu parles bien de téléchargement vers
le poste client non ? et pas de transfert du client vers le serveur ?

As-tu déjà crée ta page download.php?file=toto.pdf et testé directement depuis
la barre d'adresse du navigateur ?

**Baldy** · 20/11/2008, 11h32

Oui les fichiers sont dans le dossier upload mais en fait ce sont les fichiers qui ont été uploadés par le passé en quelque sorte ^^, mais ce sont bien des fichiers que le client télécharge (ou consulte).

Donc si je comprend bien la fonction de redirection ne sert plus à rien, il faudrait que je la remplace par ce code ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
  $file = $_GET['file'];
  $pi = pathinfo($file);
  // ajouter de la sécurité ici pour interdire au client de choisir des chemins remontants (../../etc/passwd) :-)
  $ext = $pi['extension'];
  if($ext=='pdf') $mimeType = 'application/pdf';
  else die(); // voir améliorations ci-après
  $path = 'fichiers/'.$file;
  $size = filesize($path);
  header("Content-Type: $mimeType");
  header("Content-Length: $size");
  readfile($path);
?>

**marcha** · 20/11/2008, 11h35

Oui, tes liens doivent appeler cette page.

Mais avant ça, teste là pour voir si elle fonctionne et te permet
de télécharger un fichier en tappant directement download.php?file=toto.pdf
dans la barre d'adresse de ton navigateur.

**Baldy** · 20/11/2008, 13h25

J'ai remplacer ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$lien = "Location: http://www.monsite.fr/upload/".$nbCompt['fichier_chemin'];
// Redirection vers le lien sélectionné
header($lien);
die();
echo "Le lien n'a pu &ecirc;tre trouv&eacute;.";

Par ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$file = '3.pdf';
$pi = pathinfo($file);
// ajouter de la sécurité ici pour interdire au client de choisir des chemins remontants (../../etc/passwd) :-)
$ext = $pi['extension'];
if($ext=='pdf') $mimeType = 'application/pdf';
else die(); // voir améliorations ci-après
$path = 'upload/'.$file;
$size = filesize($path);
header("Content-Type: $mimeType");
header("Content-Length: $size");
readfile($path);

Le fichier (PDF) s'affiche toujours dans une nouvelle page, donc pas de modification pour le client, ça a l'air de bien fonctionné.

A ce moment la puis je mettre un fichier .htaccess dans le répertoire upload pour bloquer la visualisation des fichiers en direct?