Discussion :

[Mookie]

Bonjour,

Je crée un intranet avec partage de fichiers.
Certains fichiers sont accessibles à certains groupes d'utilisateurs.
Aucun problème pour développer ça.
Le problème vient plutôt du fait que lorsqu'on tappe www.monurl.com/mondossier, on tombe sur tous les fichiers et on peut bien sur les télécharger.
Ma question est, comment éviter cela?
J'ai essaié avec un htaccess, il bloque bien l'accès au répertoire mais même les demande de téléchargement depuis l'espace membre sont bloquées.

Quelqu'un a-t-il une idée?

Merci d'avance!

[leodi]

met un fichier index.php vide ?

[paterson]

met un fichier index.php vide ?

j'ai pencer exactement a la méme chose .... mais tu peux faire mieu , avec index.php , faire pour que tu enregistre son ip , envoi de cookies ....

Puis aprés tu l'insére dans ton script ...

[leodi]

Pour faire quoi ? L'index.php est juste là pour "masquer" le contenu du dossier. Eventuelement mettre une redirection javascript dedan ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script language="JavaScript">window.location='index.php'</script>

[paterson]

s'est simple si tu fonctionne par les sessions ,

session_start();
$_session['tricheur']="oui";
Donc tu peux faire se que tu souhaite sur sa session ....

Le bloquer , avertissement ... comme sa sa l'apprenderas a étre curieux ...

[Mookie]

Comme dit leodi, l'index ne fait que masquer le contenu du dossier.
Mais si on tappe l'url du fichier, on y accède sans problème, qu'on soit connecté ou non.

Pour ce qui concerne les variables de sessions ça n'arrange pas le problème.
Si le visiteur tappe /mondossier/lefichier.txt, ça ne passe nullement par une page php ou autre, c'est un accès direct au fichier, donc les sessions ne sont d'aucune utilité.

[leodi]

Ba arrange toi pour que perosnne ne conaisse ce lien, ouvre une popup qui force le téléchargement (là où tu dois télécharger le fichier) puis referme la aussitot ?

[Mookie]

C'est bon, je crois que j'ai trouvé un système.
Je protège le répertoire par un htaccess.
Ensuite je crée un fichier download.php par lequel toute demande de téléchargement passe.
Sur cette page je fais les vérifications en fonction des différents droits et si le téléchargement est possible, je l'effectue via une fonction du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?php
// infos du fichier
$fichier = 'up/1images.jpg';
$nom_fichier = '1images.jpg';
 
// téléchargement du fichier
header('Content-disposition: attachment; filename='.$nom_fichier);
header('Content-Type: application/force-download');
header('Content-Transfer-Encoding: fichier'); 
header('Content-Length: '.filesize($fichier));
header('Pragma: no-cache');
header('Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0');
header('Expires: 0');
readfile($fichier);
?>

Donc toute personne qui accède au dossier est bloquée par le htaccess et tout téléchargement depuis le site est contrôlé!
C'est parfait!

Merci et a+

[yvonig]

est-ce que tu pourrais préciser ?

[ePoX]

Pourquoi tu ne déplaces pas tout simplement mondossier hors de la racine web, et donc par conséquent le rendre inaccessible via apache.