Discussion :

[Denti-fritz]

Bonjour à tous,


Je suis webmaster d'un site pour une entreprise.

Celle ci vend des documents (pdf) sur internet. Et j'aurais voulu savoir la meilleure méthode pour protéger ces données.

Ce que je pensais c'était qu'une fois que la personne aurait payé, elle recevrait les documents par mail.
Mais comment les heberger sans que tout le monde puisse les utiliser.

Merci de m'indiquer ce qui se fait généralement dans ce genre de situation.

François

[SpiritOfDoc]

Il faut plutôt voir du côté des fichiers .htaccess .

Bonne soirée.

[Denti-fritz]

Bonjour, merci de vous intéresser à mes questions.


Je me suis renseigné sur les fichiers .htaccess, mais peut -on les créer automatiquement lorsque quelqu'un achète un document ?
Peut on consulter directement la base de données, ou doit -on faire une page php qui (re)crée le .htaccess a chaque fois.

[hush]

Salut,

La meilleure solution est d'utiliser les sessions:

- L'utilisateur paye le document
- Tu gardes une trace des documents payés dans une table (ex: id, id_doc, id_user)
- Lorsque ton utilisateur est loggé, tu sais exactement quels documents il a acheté, tu lui proposes une liste depuis cette même table
- Tu fais une page de download qui se charge d'envoyer le document:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if (isset($_SESSION['client']) && isset($_GET['id_doc'])) {
 
    /* Tu vérifies que le document existe et que l'utilisateur l'a bien payé */
 
    /* Si oui */
    header('Content-type: application/pdf');
    readfile('/rep/racine/pdf/fichier_protege.pdf');
}

Voilà, je pense que c'est la meilleure solution pour avoir travaillé dessus récemment (Merci à Sub0 d'ailleurs ;)

[SpiritOfDoc]

Le fichier reste accessible sans payer.

Je m'explique, une personne, peut payer une fois le fichier, et y avoir autant de fois qu'elle le souhaite accès à ce fichier. (Si elle fait attention au lien)
Or si cette personne redistribue le lien à d'autres personnes, elles n'auront pas à payer ce fichier.

[hush]

Le fichier reste accessible sans payer.

Je m'explique, une personne, peut payer une fois le fichier, et y avoir autant de fois qu'elle le souhaite accès à ce fichier.

La personne ayant acheté le fichier, je suppose qu'il est préferable de lui autoriser l'accès à celui-ci "autant de fois qu'elle le souhaite".
Dans le cas d'un téléchargement en nombre limité, il suffit de rajouter un champs dans la base de données nb_downloads et de l'incrémenter à chaque appel valide de la page de téléchargement. Ensuite une simple vérification par rapport à une constante prédéfinie MAX_ALLOWED_DL et le tour est joué...
Je pense pas que ça soit une très bonne idée étant donné qu'un téléchargement peut échouer une ou plusieurs fois et là la personne qui a payé son fichier et qui ne peut pas le télécharger parce que ses X tentatives ont échoué sera bien contente...

Or si cette personne redistribue le lien à d'autres personnes, elles n'auront pas à payer ce fichier.

Observe le squelette que j'ai fourni. La seule manière d'accéder au fichier est d'être loggé et de l'avoir acheté. A moins d'avoir les informations de connexion de l'utilisateur qui a acheté le fichier ou de récupérer un ID de session encore valide, je ne vois pas comment tu pourrais faire...

[Sub0]

Salut!

Voici un sujet qui devrait t'intérresser je pense :
http://www.developpez.net/forums/showthread.php?t=34384

[SpiritOfDoc]

Observe le squelette que j'ai fourni. La seule manière d'accéder au fichier est d'être loggé et de l'avoir acheté. A moins d'avoir les informations de connexion de l'utilisateur qui a acheté le fichier ou de récupérer un ID de session encore valide, je ne vois pas comment tu pourrais faire...

Oui mais moi je parle du fichier, il est bien stocké à un endroit précis du serveur.
On peut donc y accéder vu qu'il n'y a aucune restriction dans le dossier.

Par exemple, pour télécharger un fichier, le lien ressemble à ceci :
http://www.site.com/dossier/dossier/.../fichier.zip (par exemple).

Avec ta formule, en rentrant directement l'URL dans ton explorer tu auras le fichier, alors qu'avec un .htaccess, ce n'est plus possible .

Peut-être que je me trompe, mais bon, avec ce que tu m'as montrés, je ne le pense pas.
Par contre, ta méthode est plutôt efficace quand il s'agit de fichier "peu" précieux.

[hush]

Oui en effet, il est évident que le fichier doit être stocké hors du répertoire web... C'est ce que je voulais montrer dans le code par /rep/racine/pdf

[mathieu]

Je pense pas que ça soit une très bonne idée étant donné qu'un téléchargement peut échouer une ou plusieurs fois et là la personne qui a payé son fichier et qui ne peut pas le télécharger parce que ses X tentatives ont échoué sera bien contente...

je suis tout à fait d'accord
je rajouterai aussi que si cette personne veut donner le fichier à quelqu'un d'autre rien ne l'empêche de l'envoyer directement par e-mail en pièce jointe

[Invité]

je suis ok pour laisser le fichier disponible a lutilisateur en téléchargement autant de fois quil veut.
pour stocker le fichier
solution1 : tu le met juste en dehors de espace web
exemple
RACINE
+cgi/
+www/
+mes_fichiers/

il ne pourra pas acceder au repertoire mes_fichiers vu qu'il est hors web.

solution 2 : utilisation de htaccess, avec un deny all qui interdira à tout le monde d'y acceder
exemple
RACINE
+cgi/
+www/mes_fichiers/

et dans mes_fichiers/tu met le .htaccess