Discussion :

[vincsb]

Hello à tous,

Je travaille actuellement sur un script permettant le téléchargement d'images sur un site, si l'utilisateur est enregistré et a assez de "crédits" (type banque d'image).

Il est hyper important que l'accès au fichier soit sécurisé et que personne ne puisse accéder directement au dossier comprenant toutes les images.

Voilà ce que j'ai fait, c'est en deux phases :

1ère phase :
.L'utilisateur confirme qu'il souhaite télécharger l'image
.Je vérifie que le fichier existe (via le nom direct du fichier)
.Je crée une clé avec un délai d'expiration d'1h lié à l'adresse réel du fichier

2ème phase :
.L'utilisateur accède au lien : example.com?key=11111
.Je vérifie que l'utilisateur est connecté, qu'il a assez de crédits
.Je cherche si il y a bien un fichier lié à la clé, qui n'est pas expiré
.Si il existe, je l'envoie à l'utilisateur via les headers et je lui retire les crédits


Ma question : Est-ce suffisant? Il y a t'il des choses que je pourrai rajouter pour sécuriser encore davantage? Un deny all est-il suffisant dans le dossier source des images?

Merci d'avance !

[Tsilefy]

Mets les images dans un répertoire inaccessible par le web, puisque tu force leur téléchargement par PHP de toute façon.

[Etre_Libre]

Le "deny from all" dans un .htaccess est déjà bien

[vincsb]

Merci à vous ! Désolé pour le délai de réponse..