Discussion :

[Kijer]

Bonjour,

J'ai quelques soucis avec mon hebergeur car il vient de me brider fortement la Bande Passante suite à des telechargements massifs chinois, qui avec leurs sofwares me pompent sans arret..

Par defaut, j'avais mis en place un simple dl.php?fichier=1 qui correspond admettons à un chemin/de/mon/fichier/fichier.rar qui etait envoyé par header pour telecharger ce dernier.

A ce que je vois ca a pas suffit.

Quels sont mes methodes, carrement plus securisé que je peux faire, sachant que je suis sur mutualisé et que tant que ce n'est pas protegé, ils refusent categoriquement de retirer la bride.


Merci de votre aide.

[Mogwaï]

Qu'est ce que tu n'as pas le droit de faire ?
Mettre en ligne un fichier .rar ?
Tu veux faire quoi exactement, empêcher les chinois de le télécharger ?

[Kijer]

Techniquement, que tout software, navigateur, soit incapable de récupérer le chemin direct du fichier.

Donc 2 choses :

- que le style dl.php?id=4 ne marche que depuis mon site
- que une fois sur le site, en cliquant sur le lien, qu'il ne puisse pas recuperer le lien direct pour le partager sans passer par le site, sans comptabiliser les stats, et surtout pour eviter le gros leeching des chinois.

[Mogwaï]

De toute façon robot ou client, tout le monde aura accès à ton fichier, même si tu mets une redirection.

Si tu veux que seuls les "humains" puisse le télécharger, il faut mettre ton fichier dans une zone accessible uniquement pas des utilisateurs enregistrés. Ainsi les robots ne pourront pas y accéder.

[Kijer]

J'y est pensé, mais suffit qu'un seul vienne telecharger, et donne le lien direct, et ma zone membre me sert plus a rien.

[FMC]

Pourquoi ne pas utiliser une méthode d'URL Rewriting (.htaccess).

Par exemple...

Tu définis que /mes/fichiers/rar/lefichierenquestion.rar
est renvoyé sur /mes/fichiers/rar/test.php?f=lefichierenquestion.rar

Et dans le code de ton test.php, tu testes :
1/ Si le HTTP_REFERER vient de ton site
2/ Si l'utilisateur est enregistré
3/ Si l'IP a déjà été utilisée
4/ Que sais-je

Si tes critères sont bons, tu renvoies vers le fichier
Si tes critères ne le sont pas, tu die();

Je pense que ça peut marcher.

[Mogwaï]

J'y est pensé, mais suffit qu'un seul vienne telecharger, et donne le lien direct, et ma zone membre me sert plus a rien.

Bien entendu si tu ne protèges pas ton fichier en PHP, la zone membre ne sert à rien

Concretement, ton fichier .rar DOIT être dans un repertoire inaccessible. Pour celà tu dois utiliser un .htaccess avec deny all. Ca c'est pour le stockage du "vrai" fichier.

Dans un autre repertoire (qui n'a rien à voir avec le répertoire précédent) accessible au public, tu aurais quelque chose de ce style :

telecharger.php?f=toto.rar

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
    session_start();
    $fichier = $_GET['f'];
 
    /* Faire ici tous les traitement de sécurité pour éviter les injections */
 
    if($_SESSION['user_enregistre']) {
        echo file_get_contents('/chemin/reel/vers/le/$fichier');
    } else {
        echo "Vous n'avez pas le droit de faire celà";
    }
?>

Ainsi, seul quelqu'un qui dispose d'une session valide pourrait ouvrir ce fichier.

[Kijer]

Je viens d'appliquer sur le site, par contre j'avais toujours le lien direct(physique) du fichier.

J'ai essayé avec des header et force download, et depuis c'est bon, en source je n'ai plus que la page php qui le génére.

Mais ton script ne pas était inutile, l'idée de la session, je viens de m'en servir, merci encore.

[ju0123456789]

bonjour !

J'ai un probleme un petit peu similaire, je ne veux pas qu'on puisse voir l'URL de mon fichier,
Sur ma page

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 fichier_a_telecharger.php

, au lie ude mettre le lien direct du fichier pour qu'il s'ouvre dans IE, j'ai mis un lien vers

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

dl.php?d1=Mon_Dossier&f1=Mon_Fichier

Et au début de cette page, j'ai mis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$fichier = "../".$_GET['d1']."/".$_GET['f1'];
header("Content-disposition: attachment; filename=$fichier");
header("Content-Type: application/force-download");
readfile($fichier);

J'ai d'abord testé avec des pdf, pas de soucis, et ensuite avec un JPG, qui apparait vide quand je le telecharge, et aussi avec des xls qui apparraissent vides aussi.

Quel est le probleme svp?