Discussion :

[Fuertes]

Bonjour à tous,

j'ai actuellement développé un site 'e-commerce' sans passer par un CMS (étant donné que je ne propose que 6 produits, et que les CMS c'est le mal).

L'architecture du site est conventionnelle et basique. Etant donné que tout est fait à la main, je m'occupe aussi de l'édition automatique des factures. Et sur ce point je rencontre un problème.

Mes factures sont générées et placées dans un sous-dossier du site. L'énorme faille de sécurité réside dans le fait que je peux consulter ces factures directement via le web. J'aimerai pouvoir bloquer l'accès HTTP (via un petit htaccess) mais je n'ai à l'heure actuelle pas trouvé de script me permettant de récupérer ces fichiers sans etre bloqué par l'htaccess.

Je ne sais pas si ma méthode est correcte, meme dans son ensemble.

J'avais pensé à créer un controleur qui lui après ses vérifications apellerait via un include le fichier de la facture situé dans un sous dossier.

Ou d'une autre facon, je pourrais include un sous-controleur qui ressemblerait à ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php

// ouvre un fichier 
$name = 'FACTURE1.pdf';
$fp = fopen($name, 'rb');

// envoie les bons en-têtes
header("Content-Type: application/pdf");
header("Content-Length: " . filesize($name));

// envoie le contenu du fichier, puis stoppe le script
fpassthru($fp);
exit;

?>

J'aimerai savoir comment vous procéderiez pour un maximum de sécurité, quels sont vos conseils à ce niveau là.

Merci !

[thelvin]

Je stockerais en base les informations de la facture, et génèrerais le fichier .pdf à chaque fois qu'on me fait la requête.

Pour d'autre genre de fichiers, je ferais comme toi, mais pour les cacher, à la place d'un .htaccess, je les mettrais en dehors de l'arborescence du serveur web. C'est une sécurité bien plus simple et directe.

[Seb33300]

je pense que c'est e que tu cherches :
http://php.developpez.com/faq/langag..._forcedownload

[Fuertes]

@thelvin : j'avais pas pensé à cette solution de générer à la demande en fait. J'avais peur que ca soit trop lourd mais à vrai dire, les seules générations seront faite à la demande du client et à la demande d'un utilisateur du backoffice donc.

@Seb33300 : merci pour ce script, j'en avais un similaire mais celui me parait plus complet.