Discussion :

[lhaj-boolean]

Salut a tous
Mon problème est :
J’ai un url comme celui-ci : www.monsite.com/informations/31.pdf
On peut accéder à ce lien soit via une page personnelle d'un utilisateur ou on tapant le lien directement dans le navigateur.
Mon objectif est de limiter le droit de téléchargement seulement pour l'utilisateur concerné, c-à-d. de ne pas donner le droit pour n’importe qui de télécharger un fichier on tapant le lien directement dans le navigateur.
Parce que il suffit de changer le nom de fichier pour voir les informations d'autres personnes; exemple : www.monsite.com/informations/50.pdf
Merci de votre aide.

[riete]

Les possibilités sont multiples.
Une question s'impose en premier lieu, tes fichiers PDF sont ils construits de façon dynamique ou sont ils static ?

Dynamique: dans ce cas tu as juste à autoriser l'accès à la page de création uniquement si l'id utilisateur correspond à certain critères et 'fabriquer' la page en conséquence.

Statique: tu dépose les fichiers dans un répertoire invisible des utilisateurs. Quand l'utilisateur demande le fichier depuis une bouton ou un formulaire, il te faut le déplacer dans une répertoire temporaire puis tu crés un script qui fabrique une URL correspondante. Le fichier copié sera ensuite éffacé.

[s.n.a.f.u]

Salut,

Tu dois interdire d'accéder directement au fichier. Tu dois coder un script qui télécharge le fichier, et qui aura ainsi la possibilité de faire toutes les vérifications souhaitées avant de balancer les données.

[Doksuri]

bonjour,
(le sujet m'interesse ^^)
la solution de riete me parrait convenable, cependant, une question me taraude...comment detecter la fin du telechargement ?
y a t il un moyen pour connaitre la fin (ajax/js ?) ou faut-il mettre un genre de timer qui supprimera le fichier apres 5min (qu'il soit telecharge ou non)

ps : si ca peut te donner une idee, pour ma part, je change aussi le nom du fichier copie... avec 2 parties random et une partie id qui s'incremente (pour etre sur de ne jamais avoir de doublon (meme avec le random)
exemple : 50.pdf devenait 59350109.pdf

[s.n.a.f.u]

Statique: tu dépose les fichiers dans un répertoire invisible des utilisateurs. Quand l'utilisateur demande le fichier depuis une bouton ou un formulaire, il te faut le déplacer dans une répertoire temporaire puis tu crés un script qui fabrique une URL correspondante. Le fichier copié sera ensuite éffacé.

C'est envisageable, mais potentiellement gourmand en ressource.
Une solution intermédiaire consiste à stocker les fichier hors du document root de apache. Il sera alors impossible d'y accéder par une URL et il faudra absolument passer par le script idoine.

[riete]

C'est envisageable, mais potentiellement gourmand en ressource.
Une solution intermédiaire consiste à stocker les fichier hors du document root de apache. Il sera alors impossible d'y accéder par une URL et il faudra absolument passer par le script idoine.

Le fait d'accéder à un fichier en dehors du scop http est surement une solution (bien que je n'ai jamais essayé), il y a peut être des pb de droits en relation avec l'utilisateur qui 'tourne' Apache et donc des questions de sécu.
Ma solution est surement gourmande en ressources, mais lhaj-boolean doit il se poser ce genre de questions ? je n'en sais rien.
La question reste ouverte, mais le débat est interessant ;-)

[lhaj-boolean]

C'est envisageable, mais potentiellement gourmand en ressource.
Une solution intermédiaire consiste à stocker les fichier hors du document root de apache. Il sera alors impossible d'y accéder par une URL et il faudra absolument passer par le script idoine.

Merci à tous
je suis intéressé par la réponse de s.n.a.f.u. mais est ce que vous pouvez me donner plus détailles ???

[s.n.a.f.u]

Oui, tu peux dans un premier temps lire ces deux liens

http://php.developpez.com/faq/?page=...rotectdownload

http://php.developpez.com/faq/?page=..._forcedownload

[riete]

http://php.developpez.com/faq/?page=..._forcedownload

Je suis peut être un peu lourd, mais je ne vois pas dans ce lien ou se trouve la sécurisation ? a partir du moment ou tu fais un copié collé de l'URL "http://www.monsite.fr/download.php?id=31" il n'y a pas de raison que ceci soit privé, je dis bien privé et non sécurisé. J'ai bien compris que pour pouvoir avoir accés à cette url il fallait être authentifié.

Peut être que je coupe un peu les cheveux en 4

[s.n.a.f.u]

Je suis peut être un peu lourd, mais je ne vois pas dans ce lien ou se trouve la sécurisation ? a partir du moment ou tu fais un copié collé de l'URL "http://www.monsite.fr/download.php?id=31" il n'y a pas de raison que ceci soit privé, je dis bien privé et non sécurisé. J'ai bien compris que pour pouvoir avoir accés à cette url il fallait être authentifié.

Peut être que je coupe un peu les cheveux en 4

En fait, il ne faut pas forcément être authentifié pour avoir accès à l'url.
Mais le script exécuté par cette url va effectuer la vérification de ton autentification pour te donner accès au téléchargement.
Donc s'il ne te reconnait, il ne lance pas le téléchargement.
Que veux-tu de plus ?

[riete]

En fait, il ne faut pas forcément être authentifié pour avoir accès à l'url.
Mais le script exécuté par cette url va effectuer la vérification de ton autentification pour te donner accès au téléchargement.
Donc s'il ne te reconnait, il ne lance pas le téléchargement.
Que veux-tu de plus ?

C'est vrai, je raisonne différement car pour moi, l'authentification des utilisateurs ne se fait pas en fonction des droits d'accès à la base SQL, mais par rapport par rapport à un système de gestion des droits que je gère moi même.
Dans le cas proposé, la sécurité est effectivement assuré, mais pas dans mon cas. Il faut donc passé par d'autres arcanes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$conn=mysql_connect('host','user','mot de passe');

Comme je n'utilise jamais la gestion des droits d'accès à partir des droits SQL