Bestand zichtbaar als ingelogd - Softwareontwikkeling

maandag 30 juni 2008 10:24

Acties:

Verwijderd

Topicstarter

Ik heb een bestand op mijn site staan (bestand.pdf) en die wil ik beschermen.
Nu wordt de security geregeld met sessie en kan ik natuurlijk doen iets als:

if($ingelogd)
{
echo $linknaarbestand;
}
else
{
echo "niet toegangelijk";
}

Maar als ik $linknaarbestand nu weet, dan kan ik het bestand alsnog downloaden.
Iemand een idee?

maandag 30 juni 2008 10:24

Acties:

Sosabowski

nerd

buiten je documentroot plaatsen?

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

maandag 30 juni 2008 10:25

Acties:

BtM909

Watch out Guys...

Niet direct verwijzen naar je bestand, maar via een "proxy"* het bestand aanleveren?

* bijv. een url die een sessie id bevat

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 30 juni 2008 10:38

Acties:

Verwijderd

Topicstarter

IorGie schreef op maandag 30 juni 2008 @ 10:24:
buiten je documentroot plaatsen?

En hoe link ik er dan heen?

maandag 30 juni 2008 10:43

Acties:

Verwijderd

Topicstarter

BtM909 schreef op maandag 30 juni 2008 @ 10:25:
Niet direct verwijzen naar je bestand, maar via een "proxy"* het bestand aanleveren?

* bijv. een url die een sessie id bevat

Die snap ik even niet.
Heb hier nog te weinig ervaring mee

maandag 30 juni 2008 10:49

Acties:

justmental

my heart, the beat

Net als een gewone pagina kun je een bestand ook door php aan laten leveren, het is alleen een ander document type.

Who is John Galt?

maandag 30 juni 2008 10:50

Acties:

scarhand

Verwijderd schreef op maandag 30 juni 2008 @ 10:43:
[...]

Die snap ik even niet.
Heb hier nog te weinig ervaring mee

Een soort downloadscript. Het bestand is niet direct beschikbaar, maar wordt vanuit het script gestreamed naar de user. Dit geeft je de mogelijkheid om in het script te checken of het bestand wel of niet gedownload mag worden.

maandag 30 juni 2008 11:15

Acties:

Peedy

scarhand schreef op maandag 30 juni 2008 @ 10:50:
[...]

Een soort downloadscript. Het bestand is niet direct beschikbaar, maar wordt vanuit het script gestreamed naar de user. Dit geeft je de mogelijkheid om in het script te checken of het bestand wel of niet gedownload mag worden.

En om dan dubbel veilig te zijn; stream hem dan vanuit een locatie buiten je docroot (zoals hierboven genoemd). Zo weet je zeker dat iemand er nooit ongevraagd bij kan.

maandag 30 juni 2008 11:17

Acties:

TRON

@TS: Hier staan wat handige voorbeelden: http://nl3.php.net/manual/en/function.readfile.php

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 1 juli 2008 10:18

Acties:

sam.vimes

Standaard oplossing: bestand in een aparte directory zetten en die directory afgrendelen met username/password autorisatie.

dinsdag 1 juli 2008 10:48

Acties:

Voutloos

sam.vimes schreef op dinsdag 01 juli 2008 @ 10:18:
Standaard oplossing: bestand in een aparte directory zetten en die directory afgrendelen met username/password autorisatie.

En zodra die user/pass bekend is heb je geen controle meer erover.

Een script welke een bestand output biedt gewoon heel veel voordelen en is echt niet zo lastig om te implementeren...

{signature}

Pagina: 1

Reageer