Discussion :

[Pymento]

Bonjour à tous, je suis en pleine analyse et j'ai un petit soucis pour concevoir un aspect de ma sécurité vis à vis des fichiers, je vous explique.

Selon les droits d'un utilisateur je vais lui proposer des fichiers qui seront stockés sur le HD du serveur.

Ce que j'aimerai tout d'abord ce serait ne pas avoir mes fichiers dans mon 'www' (j'ai un nombre important de fichiers). Et pouvoir en fait, interdire à l'utilisateur un minimum malin, de pouvoir y accéder en modifiant l'url des fichiers dont il a accès.

Mais je ne sais absolument pas comment m'y prendre étant donné que j'étais parti sur générer un lien avec l'url du fichier pour que l'utilisateur ai juste à cliquer dessus pour le télécharger.

(j'ai bien une petite idée avec du urlRewritting, mais j'aimerai m'en passer)

Un simple HTACCESS ferait-il l'affaire ?

Merci de votre aide.

[_Mac_]

Je n'ai rien compris Tu peux donner des exemples, s'il te plaît ? Ca veut dire quoi "interdire" ?

[Pymento]

par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11

if ($user->permission($file) = true) {

echo (' <a href="/files/test.pdf"> fichier </a> ' )
ou
echo (' <a href="192.168.1.1/files/test.pdf"> fichier </a> ' )

}else{
 echo (' <a href="#"> rien</a> ' )
}

Et donc il à accès à l'url libre à lui de faire dans l'url:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
192.168.1.1/files/test2.pdf

[_Mac_]

Effectivement, ce n'est pas suffisant. L'idée est d'utiliser un script PHP pour faire le téléchargement des fichiers : avec de la réécriture d'URL, tu rediriges toutes les demandes de téléchargement sur un script PHP qui fera le même genre de test que ce que tu donnes et qui renverra le fichier si le test est OK ou qui renverra une réponse 403 Forbidden s'il n'est pas bon. Voir cette réponse pour un peu plus de détails.