accès à des fichiers uniquement via php

**3akycka** · 28/03/2011, 10h54

Bonjour,

Je voudrais faire un site qui permet à 1 utilisateur de déposer et récupérer des fichiers dans un dossier sur un serveur.

Pour cela l'utilisateur devra passer par un page de login.

Seulement je voudrais que les fichiers ne soient accessibles seulement en passant par cette page login et donc empêcher l'accès aux fichiers, en tapant directement l'url du fichier dans le navigateur (si par exemple qu'un découvrait le nom du dossier + le nom d'un fichier : http//www.lesite.com/dossier/unfichier.doc).

Est-ce que c'est possible ?

**3akycka** · 28/03/2011, 12h05

... je viens de voir qu'il y avait d'autres messages qui traités du même sujet... désolé j'aurais du regarder avant...

**Benjamin Delespierre** · 28/03/2011, 12h20

Renvoie un code http 403 pour empêcher l'accès d'un utilisateur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
header("HTTP/1.0 403 Forbidden");
die();

**3akycka** · 28/03/2011, 13h45

Bonjour,
Merci pour ton conseil.

Finalement j'ai fait ça comme ça :

dans le dossier où se trouvent les fichiers :
un .htaccess avec deny from all

et un fichier php qui accède au dossier uniquement après login :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
session_start();
if (isset($_SESSION['logged'])) {
	$fichier = $_GET['fichier'];
	header("Content-Type: application");
	header("Content-Disposition: attachment; filename=$fichier");
	readfile("dossier/$fichier");
}
?>

ça suffit pour la sécurité ?

**Benjamin Delespierre** · 28/03/2011, 15h15

Avec cette ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$fichier = $_GET['fichier'];

N'importe quel utilisateur loggé un peu malin peut récupérer tous les fichiers du site voire du serveur. Tu devrais sécuriser un peu mieux.

**3akycka** · 28/03/2011, 15h57

de quelle façon un utilisateur logué pourrait récupérer tous les fichiers du site, voir du serveur ?
cette ligne, normalement permet uniquement de récupérer un fichier qui se trouve dans le dossier "dossier" ? : readfile("dossier/$fichier");

**transgohan** · 28/03/2011, 16h10

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$fichier = "../../../../../../un_fichier_loin_dans_le_système.ext";
readfile("dossier/$fichier");

Ceci te parlerait-il plus ?

**3akycka** · 28/03/2011, 16h19

bin, j'avais essayé de rentrer "fichier=../unfichier.txt" dans l'url,

mais ça me donne :
ouverture de la fenetre de téléchargement avec :
vous avez choisi d'ouvrir :
dossier_.._unfichier.txt

et ne me permet pas de remonter la hiérarchie des dossiers ?

**3akycka** · 28/03/2011, 17h05

...

heu oui en effet, c'était juste le nom du fichier ça !!

je ne savais pas qu'on pouvait retourner en arrière dans un chemin de dossier après avoir commencé à entrer dans un dossier...
merci pour l'info

Du coup si j'interdis les / dans les noms de fichiers ça suffira ?

**Benjamin Delespierre** · 28/03/2011, 17h13

Tu n'a pas fait d'urlencode, essaie avec ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
fichier=..%2Findex.php

Fais donc:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if (isset($_GET['fichier']) && !strpos($_GET['fichier'], '/') === false) {
// ...
}
die('WRONG PATH4');

**3akycka** · 28/03/2011, 20h53

ah oui, du coup on pourrait contourner...

Et si je mets :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$fichier = "dossier/".basename($_GET['fichier']);

ça devrait le faire, non ?

accès à des fichiers uniquement via php

Langage PHP

Discussions similaires

Partager

Partager