Discussion :

[Baldy]

J'ai bien mis ceci dans le .htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
order deny, allow
deny from all

Mais le répertoire est listable et les fichiers consultables. Je me demande si ce code n'est pas soumis à une certaine configuration du serveur Apache...

[marcha]

Oui, il faut que

AllowOverride FileInfo

soit effectif pour le directory (ou virtualhost ?)

tu as accès à la config d'apache ?

[Baldy]

Moi non mais les techniciens si ^^

Mais j'ai accès (évidemment) au infos du serveur via phpinfo(), y'a t'il moyen de vérifier ceci dans les infos de cette page avant de demander une modif du serveur.

[marcha]

je ne vois pas ça dans le phpinfo

tu peux toujours essayer de faire
echo nl2br(file_get_contents('/etc/apache/httpd.conf'));

pour autant que ce soit le bon emplacement de httpd.conf

sinon demande au techniciens

[Baldy]

Bon ben il faudra que je voit ça avec eux.

Merci beaucoup pour ton aide, j'espère que tout fonctionnera une fois le htaccess en place.

[Baldy]

Désolé j'ai rien dit

[Baldy]

Désolé je up un vieux sujet mais j'ai un autre soucis.

La solution que m'a donné macha fonctionne bien, mais il faudrait que je la modifie légèrement. En effet je veux également pouvoir accéder à ces fichiers depuis une autre URL. Je m'explique :

- http://www.url1.fr/ accès aux fichiers via login (donc htaccess bloque tout si on est pas loggué) ---> fonctionne
- http://www.url2.fr/ accès aux fichiers en pointait vers le dossier de la première URL et comme l'url2 n'a pas de log (accès libre du site) les fichiers sont bloqués par le htaccess.

Je me suis bêtement dit : "prend le script donné par macha, recopie le dans le fichier de l'url 2 et basta!". Oui mais voilà la fonction filesize ne fonctionne pas pour les URL (sous entendu des répertoires autres que ceux du FTP en question).

le site 1 a ce script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
$file = $nbCompt['fichier_chemin'];
$pi = pathinfo($file);
// ajouter de la sécurité ici pour interdire au client de choisir des chemins remontants (../../etc/passwd) :-)
$ext = $pi['extension'];
if($ext=='pdf')
{
	$mimeType = 'application/pdf';
	$path = 'upload/'.$file;
	//$size = filesize($path);
	header("Content-Type: $mimeType");
	//header("Content-Length: $size");
	readfile($path);
}
else
{
	header('Content-disposition: attachment; filename='.$file);
	header('Content-Type: application/force-download');
	header('Content-Transfer-Encoding: fichier'); 
	header('Content-Length: '.filesize('upload/'.$file));
	header('Pragma: no-cache');
	header('Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0');
	header('Expires: 0');
	readfile('upload/'.$file); 
}

J'ai voulu le changé en remplaçant les "upload/" par une URL ("http://www.url1.fr/upload/") mais j'ai ces erreurs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Warning: filesize() [function.filesize]: stat failed for http://www.url1.fr/upload/fichier.pdf in /home/www/compteur_upload.php on line 49
 
Warning: Cannot modify header information - headers already sent by (output started at /home/www/compteur_upload.php:49) in /home/www/compteur_upload.php on line 50
 
Warning: Cannot modify header information - headers already sent by (output started at /home/www/compteur_upload.php:49) in /home/www/compteur_upload.php on line 51
 
Warning: readfile(http://www.url1.fr/upload/fichier.pdf) [function.readfile]: failed to open stream: HTTP request failed! HTTP/1.1 500 Internal Server Error in /home/www/compteur_upload.php on line 52

[marcha]

Salut,

Je comprends pas bien l'intérêt de protéger des fichiers par un login si tu souhaites
qu'ils soient accessible librement depuis un autre site !!!

Tu peux expliquer un peu mieux le contexte ?

[Baldy]

En fait le premier site permet (entre autre) d'uploader les fichiers et de dire si ils sont ensuite accessibles ou non sur le second (une variable à 0 n'affiche pas le lien, une variable à 1 l'affiche).

Donc le DENY FROM ALL du htaccess fonctionne parfaitement, mais les liens visibles sur le site en libre accès doivent fonctionner aussi bien que si on était loggué sur le site principal.

(j'espère que c'est assez clair)

[marcha]

Salut,

Bon j'imagine que sur le site 2 tu avais des liens vers le dossier /upload du site 1 ?

par exemple sur le site 2, http://www.site1.fr/upload/fichier.pdf

tu peux modifier ces liens pour passer par la page de download ainsi:

http://www.site1.fr/download.php?file=fichier.pdf

et dans le code de ta page download.php tu vérifie que l'utilisateur est logué
que pour les fichiers accessibles seulement depuis le site1

et tu ne crée pas de deuxième page download.php sur le site 2

ça jouerait ainsi ?

[Baldy]

Merde c'est vrai que c'est tout con. Ca à l'air de marcher, je fais une vérification globale mais ça à l'air bon.

Merci à nouveau marcha