Discussion :

[cbelstar]

Bonjour,

y a-t-il un moyen du coup aussi pour empêcher l'accès direct à des fichiers word/excel placés dans un répertoire, mais que à partir d'une page php par exemple, on puisse créer un lien qui les ouvre ?

J'en ai vu un paquet d'exemples en tout genre sur htaccess, mais aucun n'a répondu à ma question

Merci

[sabotage]

.htaccess ne concerne que les accès au fichier par le serveur web.
Si tu bloque un repertoire par .htaccess, il reste donc tout à fait accessible aux fonctions PHP comme readfile() ou file_get_contents(), ce qui permet de livrer le fichier sans qu'il soit accessible directement.

[_Mac_]

C'est un serveur Apache ? Les .htaccess ne fonctionnent qu'avec Apache.

Il y a plusieurs solutions, en fonction de la sécurité que tu veux appliquer :

• Utiliser des techniques de protection contre le hotlinking. Si ton serveur Web est un Apache, fais une recherche sur le forum Apache sur le terme "hotlinking", ça te renverra plusieurs résultats, tous basés sur le même principe : vérifier le referrer. Mais du coup, ce n'est pas fiable car un referrer, ça se trafique.
• Faire de l'authentification basique lorsqu'on accède à un certain répertoire (et ses sous-répertoires). Le navigateur ouvrira un pop-up dans lequel il faudra renseigner un login et un mot de passe.
• Faire une authentification par session. Pour accéder aux documents, il faut passer par un formulaire HTML (différent de l'authentification basique). Une fois l'authentification réussie, on peut télécharger les fichiers en passant de manière plus ou moins transparente par un script qui contrôlera l'authentification (pour être sûr qu'on accède au fichier de manière authentifiée et éventuellement avec les bonnes permissions) et qui renverra le fichier au navigateur si tout est OK. C'est assez facile à mettre en place en PHP et Apache : tu as un .htaccess qui renvois tous les .doc, .xls, etc. sur un certain script PHP qui vérifie l'authentification :
  .htaccess :
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  RewriteEngine on
  RewriteCond %{REQUEST_URI} \.(doc|xls)$
  RewriteRule (.*) filtre_securite.php [QSA,L]

  filtre_securite.php :
  

  Code PHP :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  <?php
  session_start();
   
  if (isset($_SESSION["login"])) {
  	if ($_SESSION["login"] == "toto") {
  		$URL = parse_url($_SERVER["REQUEST_URI"]);
  		include($_SERVER["DOCUMENT_ROOT"].$URL["path"]);
  	} else {
  		header("Location: /login.php");
  	}
  } else {
  	header("Location: /login.php");
  }
  ?>

[cbelstar]

Alors là je me prosterne à vos pieds Mac, vous êtes mon héros !

Cà fonctionne à merveille, merci énormément.