J'utilise les sessions de PHP pour sécuriser mes pages.
Et là tout est ok.
Par contre, les documents qui sont proposés au téléchargement depuis les
pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils
résident sur le serveur.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess... mais cela me fait gérer deux
systèmes (deux mots de passe... * 300 utilisateurs, deux fois plus de
saisies pour moi, et on est obliger de se loguer plussieurs fois (une pour
les sessions, une pour le htaccess ???...) quelqu'un peut il m'aider ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Marc
Par contre, les documents qui sont proposés au téléchargement depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils résident sur le serveur.
interfacer l'acces aux fichiers par un script php. voir readfile, et header.
il est aussi possible de faire un script file.php avec une syntaxe de ce genre :
http://host/file/dir/file.txt
le script file.php sera appelé s'il n'existe pas de repertoire file, et il sera possible de recuperer les arguments qui suivent dans l'url (voir phpinfo).
Par contre, les documents qui sont proposés au téléchargement depuis les
pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils
résident sur le serveur.
interfacer l'acces aux fichiers par un script php.
voir readfile, et header.
il est aussi possible de faire un script file.php avec une syntaxe de ce genre :
http://host/file/dir/file.txt
le script file.php sera appelé s'il n'existe pas de repertoire file, et il sera
possible de recuperer les arguments qui suivent dans l'url (voir phpinfo).
Par contre, les documents qui sont proposés au téléchargement depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils résident sur le serveur.
interfacer l'acces aux fichiers par un script php. voir readfile, et header.
il est aussi possible de faire un script file.php avec une syntaxe de ce genre :
http://host/file/dir/file.txt
le script file.php sera appelé s'il n'existe pas de repertoire file, et il sera possible de recuperer les arguments qui suivent dans l'url (voir phpinfo).
shad
Le pb se pose quand même si par ftp on récupére le lien direct du doc( même s'il est dans un autre répertoire), ex la saisie direct dans le navigateur de http://www.monsite.com/admin/conditionsgenerales.pdf et là logé ou pas, le doc est proposé au téléchargement !!!
"Frederic Jacquot" a écrit dans le message de news:
Le 14 Jul 2003 09:53:54 GMT, shad a insinué :
Par contre, les documents qui sont proposés au téléchargement depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils
résident sur le serveur.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess... mais cela me fait gérer deux systèmes (deux mots de passe... * 300 utilisateurs, deux fois plus de saisies pour moi, et on est obliger de se loguer plussieurs fois (une pour
les sessions, une pour le htaccess ???...) quelqu'un peut il m'aider ?
Tu peux éviter le problème en stockant les fichiers hors du repertoire web, et utiliser un script php qui fera l'intermédiaire. par exemple:
http://www.monsite.com/download.php?id"
il ira chercher le path du fichier correspondant à l'id 22 dans la base, ira le lire, et enverra le contenu à l'écran, avec le header qui va bien.
Du coup tu peux parfaitememnt vérifier la session dans download.php. Frédéric Jacquot
Le pb se pose quand même si par ftp on récupére le lien direct du doc( même
s'il est dans un autre répertoire), ex la saisie direct dans le navigateur
de http://www.monsite.com/admin/conditionsgenerales.pdf
et là logé ou pas, le doc est proposé au téléchargement !!!
"Frederic Jacquot" <deelight@nomail.fr> a écrit dans le message de news:
d3o5hv4pgqecct876ila0fish24e8clkkt@4ax.com...
Le 14 Jul 2003 09:53:54 GMT, shad a insinué :
Par contre, les documents qui sont proposés au téléchargement depuis les
pages sécurisées par mes sessions ne sont pas sécurisés par PHP
puisqu'ils
résident sur le serveur.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess... mais cela me fait gérer deux
systèmes (deux mots de passe... * 300 utilisateurs, deux fois plus de
saisies pour moi, et on est obliger de se loguer plussieurs fois (une
pour
les sessions, une pour le htaccess ???...) quelqu'un peut il m'aider ?
Tu peux éviter le problème en stockant les fichiers hors du repertoire
web, et utiliser un script php qui fera l'intermédiaire. par exemple:
http://www.monsite.com/download.php?id"
il ira chercher le path du fichier correspondant à l'id 22 dans la
base, ira le lire, et enverra le contenu à l'écran, avec le header qui
va bien.
Du coup tu peux parfaitememnt vérifier la session dans download.php.
Frédéric Jacquot
Le pb se pose quand même si par ftp on récupére le lien direct du doc( même s'il est dans un autre répertoire), ex la saisie direct dans le navigateur de http://www.monsite.com/admin/conditionsgenerales.pdf et là logé ou pas, le doc est proposé au téléchargement !!!
"Frederic Jacquot" a écrit dans le message de news:
Le 14 Jul 2003 09:53:54 GMT, shad a insinué :
Par contre, les documents qui sont proposés au téléchargement depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils
résident sur le serveur.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess... mais cela me fait gérer deux systèmes (deux mots de passe... * 300 utilisateurs, deux fois plus de saisies pour moi, et on est obliger de se loguer plussieurs fois (une pour
les sessions, une pour le htaccess ???...) quelqu'un peut il m'aider ?
Tu peux éviter le problème en stockant les fichiers hors du repertoire web, et utiliser un script php qui fera l'intermédiaire. par exemple:
http://www.monsite.com/download.php?id"
il ira chercher le path du fichier correspondant à l'id 22 dans la base, ira le lire, et enverra le contenu à l'écran, avec le header qui va bien.
Du coup tu peux parfaitememnt vérifier la session dans download.php. Frédéric Jacquot
Frederic Jacquot
Le 16 Jul 2003 14:53:56 GMT, Globus a insinué :
Si tes fichiers sont hors de l'arborescence du site, aucun lien ne pourra les atteindre... Frédéric Jacquot
Ou alors, dans le répertoire de tes fichiers, tu crées un fichier ".htaccess" (seulement avec Apache) pour interdire le téléchargement direct
Oui effectivement c'est une trés bonne solution, surtout lorsqu'il n'est pas possible de creer de dossiers hors de l'arbo web (ex: herbergeurs gratuits) Frédéric Jacquot
Le 16 Jul 2003 14:53:56 GMT, Globus a insinué :
Si tes fichiers sont hors de l'arborescence du site, aucun lien ne
pourra les atteindre...
Frédéric Jacquot
Ou alors, dans le répertoire de tes fichiers, tu crées un fichier
".htaccess" (seulement avec Apache) pour interdire le téléchargement direct
Oui effectivement c'est une trés bonne solution, surtout lorsqu'il
n'est pas possible de creer de dossiers hors de l'arbo web (ex:
herbergeurs gratuits)
Frédéric Jacquot
Si tes fichiers sont hors de l'arborescence du site, aucun lien ne pourra les atteindre... Frédéric Jacquot
Ou alors, dans le répertoire de tes fichiers, tu crées un fichier ".htaccess" (seulement avec Apache) pour interdire le téléchargement direct
Oui effectivement c'est une trés bonne solution, surtout lorsqu'il n'est pas possible de creer de dossiers hors de l'arbo web (ex: herbergeurs gratuits) Frédéric Jacquot
