Discussion :

[groskanel]

Bonjour
j'ai fait un petit truc pour le redimensionnent d'image (avec l'aide de ce forum !) a présent tout fonctionne.
Mais il me reste un souci, les repertoires contenant les images sont en 777 pour pouvoir ecrire dedans, ce qui n'est pas top niveau sécurité, et tout le monde peut y acceder.
comment faire pour proteger le rep, mais le laisser en 777? est-ce qu'un htaccess peut faire ca ?

[Invité]

tu peux utiliser .htaccess si tu gères toi même l'envoi des fichiers en questions à ton utilisateur. Donc tes balises <img> pointeraient sur un script .php qui lui enverrait la bonne image aux clients.

[groskanel]

ce n'est pas moi qui gere l'envoi des images mais des utilisateurs..

Il n'y a donc aucun moyen de protéger le repertoire ?

[Invité]

ce n'est pas moi qui gere l'envoi des images mais des utilisateurs..

Il n'y a donc aucun moyen de protéger le repertoire ?

peux tu préciser quelle action que tu veux te protéger ?

[groskanel]

bah en fait si on tape l'url direct du fichier image, on peux y avoir acces sans passer par le site

j'aimerais que ce soit impossible...

[Invité]

bah en fait si on tape l'url direct du fichier image, on peux y avoir acces sans passer par le site

j'aimerais que ce soit impossible...

daccord, alors ma réponse restera la même. Si tu le bloques dans .htaccess il faut changer la méthode d'accès. Sache que si jamais tu utilises qqchose comme Drupal, Drupal permet de gérer lui même la gestion des fichiers et serait compatible avec le blocage .htaccess

[groskanel]

je n'utilise aucun CMS (c'est sans doute la le souci ) c'est un truc que j'ai codé moi meme...

[Invité]

je n'utilise aucun CMS (c'est sans doute la le souci ) c'est un truc que j'ai codé moi meme...

ensuite dans tes balises <img src="download.php?file=toto.jpg">

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?php
 
$file = $_GET['file'];
$content = fopen ($hn, $file);
header("Expires: 0");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
header("Content-type: application/pdf");
header('Content-length: '.filesize($file));
header('Content-disposition: attachment; filename='.basename($file));
readfile($file);
exit;
?>

il manque quelques validations pour valider que le chemin est sécuritaire mais bon.. simple

[groskanel]

merci je teste ca dans la journée..