Bonjour à tous,

j'ai actuellement développé un site 'e-commerce' sans passer par un CMS (étant donné que je ne propose que 6 produits, et que les CMS c'est le mal).

L'architecture du site est conventionnelle et basique. Etant donné que tout est fait à la main, je m'occupe aussi de l'édition automatique des factures. Et sur ce point je rencontre un problème.

Mes factures sont générées et placées dans un sous-dossier du site. L'énorme faille de sécurité réside dans le fait que je peux consulter ces factures directement via le web. J'aimerai pouvoir bloquer l'accès HTTP (via un petit htaccess) mais je n'ai à l'heure actuelle pas trouvé de script me permettant de récupérer ces fichiers sans etre bloqué par l'htaccess.

Je ne sais pas si ma méthode est correcte, meme dans son ensemble.

J'avais pensé à créer un controleur qui lui après ses vérifications apellerait via un include le fichier de la facture situé dans un sous dossier.

Ou d'une autre facon, je pourrais include un sous-controleur qui ressemblerait à ca :

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php

// ouvre un fichier 
$name = 'FACTURE1.pdf';
$fp = fopen($name, 'rb');

// envoie les bons en-têtes
header("Content-Type: application/pdf");
header("Content-Length: " . filesize($name));

// envoie le contenu du fichier, puis stoppe le script
fpassthru($fp);
exit;

?>
J'aimerai savoir comment vous procéderiez pour un maximum de sécurité, quels sont vos conseils à ce niveau là.

Merci !