Hello à tous,

Je travaille actuellement sur un script permettant le téléchargement d'images sur un site, si l'utilisateur est enregistré et a assez de "crédits" (type banque d'image).

Il est hyper important que l'accès au fichier soit sécurisé et que personne ne puisse accéder directement au dossier comprenant toutes les images.

Voilà ce que j'ai fait, c'est en deux phases :

1ère phase :
.L'utilisateur confirme qu'il souhaite télécharger l'image
.Je vérifie que le fichier existe (via le nom direct du fichier)
.Je crée une clé avec un délai d'expiration d'1h lié à l'adresse réel du fichier

2ème phase :
.L'utilisateur accède au lien : example.com?key=11111
.Je vérifie que l'utilisateur est connecté, qu'il a assez de crédits
.Je cherche si il y a bien un fichier lié à la clé, qui n'est pas expiré
.Si il existe, je l'envoie à l'utilisateur via les headers et je lui retire les crédits


Ma question : Est-ce suffisant? Il y a t'il des choses que je pourrai rajouter pour sécuriser encore davantage? Un deny all est-il suffisant dans le dossier source des images?

Merci d'avance !