Je souhaite faire un site donc l'accès se fera par login et mot de passe
aux seules personnes à qui j'aurai donné des identifiants.
Actuellement je sais faire 2 choses :
* soit gérer l'accès en mettant un .htaccess dès la racine.
Donc là, pas de problème, tout le contenu du site est protégé.
Mais je ne trouve pas jolie (esthétique) cette méthode
C'est pour cela que je préfère ma deuxième solution :
* mettre un formulaire dans lequel le visiteur met ses identifiants,
puis je vérifie dans la base de données et si oui je valide l'accès.
Par contre à chacune de mes pages je suis obligé de vérifier si la
personne y a accès...
Pour cela j'ai une variable de session, et de plus toutes mes pages sont
de la forme index.php?page=toto avec toto qui appelle la page inc/titi.php.
Le répertoire inc/ est protégé par un .htaccess "deny from all"
Donc tout va bien avec cette méthode (tout est bien protégé, et je peux
faire joli comme je veux (mieux en tout cas que la boîte du htaccess !)
Le seul problème est pour les fichiers multimédia (images, sons, vidéos).
Si je met un .htaccess "deny from all" sur le répertoire images/ alors
ça refuse l'affichage (normal puisque les images sont appelées par un
requête html).
Il en est de même pour les fichiers de style .css
(je me contente de mettre un index avec "header("Location: ..");" dans
ces répertoires, mais rien n'empêche un accès direct au fichier...)
Est-ce que quelqu'un aurait une solution pour garder l'accès avec
formulaire et vérification dans la base de données *et* que *tous* les
fichiers soient protégés ?
Je crois que j'ai oublié de faire le X-post... !!! Tant pis pour moi...
-- Vincent
Thief13
Tu met tes fichier et tes images dans un répertoir avec htaccess deny from all, et tu les récupère avec un fichier php qui controle les droit et qui les réinjecte avec le bon mimi-type.
Je fait comme ça, et c'est super efficace !
Tu met tes fichier et tes images dans un répertoir avec htaccess deny
from all, et tu les récupère avec un fichier php qui controle les droit
et qui les réinjecte avec le bon mimi-type.
Tu met tes fichier et tes images dans un répertoir avec htaccess deny from all, et tu les récupère avec un fichier php qui controle les droit et qui les réinjecte avec le bon mimi-type.
Je fait comme ça, et c'est super efficace !
Legeais Vincent
Tu met tes fichier et tes images dans un répertoir avec htaccess deny from all, et tu les récupère avec un fichier php qui controle les droit et qui les réinjecte avec le bon mimi-type.
Pour cela je pense adapter un script que j'utilise pour faire les miniatures, ce qui donnerait cela :
Est-ce comme cela que toi tu fais ? Si tu fais autrement, je veux bien savoir comment...
Par contre ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
Merci
-- Vincent
Tu met tes fichier et tes images dans un répertoir avec htaccess deny
from all, et tu les récupère avec un fichier php qui controle les droit
et qui les réinjecte avec le bon mimi-type.
Pour cela je pense adapter un script que j'utilise pour faire les
miniatures, ce qui donnerait cela :
Est-ce comme cela que toi tu fais ?
Si tu fais autrement, je veux bien savoir comment...
Par contre ceci ne fonctionne qu'avec les images...
Comment faire pour les sont et les vidéos ?
Et aussi pour les autres fichiers (.css) ?
Et pour un fichier .pdf par exemple ?
Tu met tes fichier et tes images dans un répertoir avec htaccess deny from all, et tu les récupère avec un fichier php qui controle les droit et qui les réinjecte avec le bon mimi-type.
Pour cela je pense adapter un script que j'utilise pour faire les miniatures, ce qui donnerait cela :
Est-ce comme cela que toi tu fais ? Si tu fais autrement, je veux bien savoir comment...
Par contre ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
Merci
-- Vincent
P'tit Marcel
ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur (donc pas des css, du js ou du php), tu peux vérifier : - leur type mime (http://faqfclphp.free.fr/#rub4.10) cela évite les erreurs mais pas les tentatives malfaisantes - les premiers caractères du fichier (voir le fil "Controler le type de fichier envoye par un formulaire" en cours sur ce forum) - leur suffixe (refuser .php? .js .java etc.)
eça -- P'tit Marcel
ceci ne fonctionne qu'avec les images...
Comment faire pour les sont et les vidéos ?
Et aussi pour les autres fichiers (.css) ?
Et pour un fichier .pdf par exemple ?
tous ces objets inclus en HTML peuvent être stockés dans un/des
répertoires accessibles du web. En général ce sont des objets placés par
le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur
(donc pas des css, du js ou du php), tu peux vérifier :
- leur type mime (http://faqfclphp.free.fr/#rub4.10)
cela évite les erreurs mais pas les tentatives malfaisantes
- les premiers caractères du fichier (voir le fil "Controler le type de
fichier envoye par un formulaire" en cours sur ce forum)
- leur suffixe (refuser .php? .js .java etc.)
ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur (donc pas des css, du js ou du php), tu peux vérifier : - leur type mime (http://faqfclphp.free.fr/#rub4.10) cela évite les erreurs mais pas les tentatives malfaisantes - les premiers caractères du fichier (voir le fil "Controler le type de fichier envoye par un formulaire" en cours sur ce forum) - leur suffixe (refuser .php? .js .java etc.)
eça -- P'tit Marcel
Legeais Vincent
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur [...]
Mon problème n'est pas la dangerosité des fichiers. Je souhaite juste que personne de non identifié ne puissent y accéder en tapant l'adresse directement (donc pas dans un répertoire accessible du web). Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui contient des données confidentielles ne soient accessible uniquement si la personne s'est bien identifiée au début...
Comment faire ?
Merci
-- Vincent
tous ces objets inclus en HTML peuvent être stockés dans un/des
répertoires accessibles du web. En général ce sont des objets placés par
le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur
[...]
Mon problème n'est pas la dangerosité des fichiers.
Je souhaite juste que personne de non identifié ne puissent y accéder en
tapant l'adresse directement (donc pas dans un répertoire accessible du
web).
Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui
contient des données confidentielles ne soient accessible uniquement si
la personne s'est bien identifiée au début...
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur [...]
Mon problème n'est pas la dangerosité des fichiers. Je souhaite juste que personne de non identifié ne puissent y accéder en tapant l'adresse directement (donc pas dans un répertoire accessible du web). Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui contient des données confidentielles ne soient accessible uniquement si la personne s'est bien identifiée au début...
Comment faire ?
Merci
-- Vincent
P'tit Marcel
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur [...]
Mon problème n'est pas la dangerosité des fichiers. Je souhaite juste que personne de non identifié ne puissent y accéder en tapant l'adresse directement (donc pas dans un répertoire accessible du web). Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui contient des données confidentielles ne soient accessible uniquement si la personne s'est bien identifiée au début...
ça me paraît pas insurmontable. dans les pages HTML, tu peux mettre des liens genre : <a href='http://.../objet.php?fichier=classeur.xls'>
et le script objet.php est du genre :
if(utilisateur_authentifie()) { $fichier = @$_GET['fichier']; if(!preg_match('`[/]`', $fichier) and ($fichier{0} != '.')) { $fichier_complet = CHEMIN_INCLUS . '/'. $fichier; if(file_exists($fichier_complet)) { header('Content-Type: application/octet-stream'); header("Content-Length: ".filesize($fichier_complet)); set_time_limit(0); if(@readfile($fichier_complet)) exit(); } else die("erreur à la lecture du fichier $fichier"); } else die("fichier $fichier non trouvé"); } else die("fichier $fichier non valide"); } else { header('HTTP/1.1 403 Forbidden'); die("accès refusé"); }
Il faudrait aussi positionner le type mime par un autre header(). Pour récupérer ce type, tu peux programmer une fonction comme le fonction mimeTypes proposée par Philipp Heckel dans les notes du manuel ici: http://fr.php.net/readfile
eça -- P'tit Marcel stats sur les forums modérés http://www.centrale-lyon.org/ng/
tous ces objets inclus en HTML peuvent être stockés dans un/des
répertoires accessibles du web. En général ce sont des objets placés
par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur
[...]
Mon problème n'est pas la dangerosité des fichiers.
Je souhaite juste que personne de non identifié ne puissent y accéder en
tapant l'adresse directement (donc pas dans un répertoire accessible du
web). Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui
contient des données confidentielles ne soient accessible uniquement si
la personne s'est bien identifiée au début...
ça me paraît pas insurmontable.
dans les pages HTML, tu peux mettre des liens genre :
<a href='http://.../objet.php?fichier=classeur.xls'>
et le script objet.php est du genre :
if(utilisateur_authentifie()) {
$fichier = @$_GET['fichier'];
if(!preg_match('`[/\]`', $fichier) and ($fichier{0} != '.')) {
$fichier_complet = CHEMIN_INCLUS . '/'. $fichier;
if(file_exists($fichier_complet)) {
header('Content-Type: application/octet-stream');
header("Content-Length: ".filesize($fichier_complet));
set_time_limit(0);
if(@readfile($fichier_complet))
exit();
}
else die("erreur à la lecture du fichier $fichier");
}
else die("fichier $fichier non trouvé");
}
else die("fichier $fichier non valide");
}
else {
header('HTTP/1.1 403 Forbidden');
die("accès refusé");
}
Il faudrait aussi positionner le type mime par un autre header(). Pour
récupérer ce type, tu peux programmer une fonction comme le fonction
mimeTypes proposée par Philipp Heckel dans les notes du manuel ici:
http://fr.php.net/readfile
eça
--
P'tit Marcel
stats sur les forums modérés http://www.centrale-lyon.org/ng/
tous ces objets inclus en HTML peuvent être stockés dans un/des répertoires accessibles du web. En général ce sont des objets placés par le webmaster qui s'assure qu'ils ne sont pas dangereux.
Pour les objets inclus qui ont été uploadés par un autre utilisateur [...]
Mon problème n'est pas la dangerosité des fichiers. Je souhaite juste que personne de non identifié ne puissent y accéder en tapant l'adresse directement (donc pas dans un répertoire accessible du web). Je souhaite que le fichier pdf ou xls que j'ai mis moi-même mais qui contient des données confidentielles ne soient accessible uniquement si la personne s'est bien identifiée au début...
ça me paraît pas insurmontable. dans les pages HTML, tu peux mettre des liens genre : <a href='http://.../objet.php?fichier=classeur.xls'>
et le script objet.php est du genre :
if(utilisateur_authentifie()) { $fichier = @$_GET['fichier']; if(!preg_match('`[/]`', $fichier) and ($fichier{0} != '.')) { $fichier_complet = CHEMIN_INCLUS . '/'. $fichier; if(file_exists($fichier_complet)) { header('Content-Type: application/octet-stream'); header("Content-Length: ".filesize($fichier_complet)); set_time_limit(0); if(@readfile($fichier_complet)) exit(); } else die("erreur à la lecture du fichier $fichier"); } else die("fichier $fichier non trouvé"); } else die("fichier $fichier non valide"); } else { header('HTTP/1.1 403 Forbidden'); die("accès refusé"); }
Il faudrait aussi positionner le type mime par un autre header(). Pour récupérer ce type, tu peux programmer une fonction comme le fonction mimeTypes proposée par Philipp Heckel dans les notes du manuel ici: http://fr.php.net/readfile
eça -- P'tit Marcel stats sur les forums modérés http://www.centrale-lyon.org/ng/
Est-ce comme cela que toi tu fais ? Si tu fais autrement, je veux bien savoir comment...
C'est le principe
Par contre ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
Merci
Ca marche avec tout les fichiers : tu met le mime type que tu veux dans le header
Est-ce comme cela que toi tu fais ?
Si tu fais autrement, je veux bien savoir comment...
C'est le principe
Par contre ceci ne fonctionne qu'avec les images...
Comment faire pour les sont et les vidéos ?
Et aussi pour les autres fichiers (.css) ?
Et pour un fichier .pdf par exemple ?
Merci
Ca marche avec tout les fichiers : tu met le mime type que tu veux dans
le header
Est-ce comme cela que toi tu fais ? Si tu fais autrement, je veux bien savoir comment...
C'est le principe
Par contre ceci ne fonctionne qu'avec les images... Comment faire pour les sont et les vidéos ? Et aussi pour les autres fichiers (.css) ? Et pour un fichier .pdf par exemple ?
Merci
Ca marche avec tout les fichiers : tu met le mime type que tu veux dans le header
Thief13
Pour les objets inclus qui ont été uploadés par un autre utilisateur (donc pas des css, du js ou du php), tu peux vérifier : - leur type mime (http://faqfclphp.free.fr/#rub4.10) cela évite les erreurs mais pas les tentatives malfaisantes - les premiers caractères du fichier (voir le fil "Controler le type de fichier envoye par un formulaire" en cours sur ce forum) - leur suffixe (refuser .php? .js .java etc.)
Controler le mime et le suffixe, ça fait un peut double emplois, car le mime est déterminé par le suffixe. et c'estplus prise de tete de controler le suffixe (tous n'ont pas la meme taille, un meme fichier peut avoir plusieurs suffixe -.jpg et .jpeg par exemple- etc etc)
Perso, grace au fil "Controler le type de fichier envoye par un formulaire", maintentant, je commence par vérifier que le mime est un des type accepté, puis je compare le mime à la signature qu'il est sensé avoir.
Mais là, je pense que le probleme est différent : il veux empecher l'acces au fichiers qui sont sur le serveur aux personnes non enregistré il me semble.
Pour les objets inclus qui ont été uploadés par un autre utilisateur
(donc pas des css, du js ou du php), tu peux vérifier :
- leur type mime (http://faqfclphp.free.fr/#rub4.10)
cela évite les erreurs mais pas les tentatives malfaisantes
- les premiers caractères du fichier (voir le fil "Controler le type de
fichier envoye par un formulaire" en cours sur ce forum)
- leur suffixe (refuser .php? .js .java etc.)
Controler le mime et le suffixe, ça fait un peut double emplois, car le
mime est déterminé par le suffixe. et c'estplus prise de tete de
controler le suffixe (tous n'ont pas la meme taille, un meme fichier
peut avoir plusieurs suffixe -.jpg et .jpeg par exemple- etc etc)
Perso, grace au fil "Controler le type de fichier envoye par un
formulaire", maintentant, je commence par vérifier que le mime est un
des type accepté, puis je compare le mime à la signature qu'il est sensé
avoir.
Mais là, je pense que le probleme est différent : il veux empecher
l'acces au fichiers qui sont sur le serveur aux personnes non enregistré
il me semble.
Pour les objets inclus qui ont été uploadés par un autre utilisateur (donc pas des css, du js ou du php), tu peux vérifier : - leur type mime (http://faqfclphp.free.fr/#rub4.10) cela évite les erreurs mais pas les tentatives malfaisantes - les premiers caractères du fichier (voir le fil "Controler le type de fichier envoye par un formulaire" en cours sur ce forum) - leur suffixe (refuser .php? .js .java etc.)
Controler le mime et le suffixe, ça fait un peut double emplois, car le mime est déterminé par le suffixe. et c'estplus prise de tete de controler le suffixe (tous n'ont pas la meme taille, un meme fichier peut avoir plusieurs suffixe -.jpg et .jpeg par exemple- etc etc)
Perso, grace au fil "Controler le type de fichier envoye par un formulaire", maintentant, je commence par vérifier que le mime est un des type accepté, puis je compare le mime à la signature qu'il est sensé avoir.
Mais là, je pense que le probleme est différent : il veux empecher l'acces au fichiers qui sont sur le serveur aux personnes non enregistré il me semble.
Legeais Vincent
dans les pages HTML, tu peux mettre des liens genre : <a href='http://.../objet.php?fichier=classeur.xls'>
et le script objet.php est du genre :
if(utilisateur_authentifie()) { [...]
Ca me parait bien. Je vais donc tester cela tranquillement. Merci
-- Vincent
dans les pages HTML, tu peux mettre des liens genre :
<a href='http://.../objet.php?fichier=classeur.xls'>
et le script objet.php est du genre :
if(utilisateur_authentifie()) {
[...]
Ca me parait bien.
Je vais donc tester cela tranquillement.
Merci
