Discussion :

[Baldy]

Bonjour

Je voudrais savoir si il y a une manière particulière d'empecher la lecture de fichier d'un site. Je m'explique :

Si je fais un site qui comporte une partie nécessitant login et MDP et que certains fichiers ne sont visibles que de cette partie (donc logiquement protégés), que puis je faire pour empecher quelqu'un de lire ces fichiers depuis une URL absolue?

Exemple :

http://www.monsite.fr/ --> le site
http://www.monsite.fr/admin/ --> partie administration accessible par login et MDP
http://www.monsite.fr/admin/fichiers/exemple.pdf --> depuis le site je ne peut lire ce fichier qu'en passant par le formulaire d'authentification, mais si un utilisateur rentre cette URL directement dans son navigateur, qu'est ce qui l'empêche d'accéder au fichier?

[LoveAngel]

Bonjour,

Tu as effectivement un moyen simple de protéger le dossier, c'a déjà été développé dans d'autres sujets :
1 : mettre un index.php pour empêcher le parcours du dossier
2 : utiliser un .htacess, dans le dossier fichiers, du style

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Order Deny, Allow
Deny From All

ou utiliser le rewrite_mod d'Apache
3 : mettre en place un fichier ( download.php ) auquel tu passe le nom de fichier en paramètre, et qui te renvoie le fichier grâce à un echo file_get_contents( ) ou autre, avec les headers appropriés, et qui vérifie accessoirement que la personne est bien logguée. Par contre, faut pas oublier de bien vérifier le chemin quand il est envoyé, pour éviter le téléchargement de n'importe quel fichier ( du genre vérifier que le chemin ne contient pas de '../' )

Voila, bonne chance

[s.n.a.f.u]

L'utilisation d'un fichier .htaccess peut-être une solution.

Mais avant tout, il faut que le visiteur connaisse l'existence de ton fichier, et pour empêcher un quidam de cataloguer ton site, il existe une première astuce toute simple qui consiste à mettre un fichier index.php vide dans chacun de tes dossiers. Ainsi il ne sera pas possible de lister le répertoire par un navigateur.

Tu peux aussi provoquer une erreur lorsqu'il y a tentative d'accéder à un dossier en y mettant ce index.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<?php
header("HTTP/1.0 404 Not Found");
?>

--- edit ---
oups, grillé par l'ange de l'amour !

[Baldy]

Vos propositions sont en effet bonnes pour empecher le listage d'un répertoire. Mais cela n'empeche pas quelqu'un de lire directement un fichier si il en connait l'URL et le nom exact (c'est difficile connaissable mais bon...)

La méthode de LoveAngel pourrait elle corriger ce défaut?

3 : mettre en place un fichier ( download.php ) auquel tu passe le nom de fichier en paramètre, et qui te renvoie le fichier grâce à un echo file_get_contents( ) ou autre, avec les headers appropriés, et qui vérifie accessoirement que la personne est bien logguée. Par contre, faut pas oublier de bien vérifier le chemin quand il est envoyé, pour éviter le téléchargement de n'importe quel fichier ( du genre vérifier que le chemin ne contient pas de '../' )

Voila, bonne chance

[s.n.a.f.u]

Vos propositions sont en effet bonnes pour empecher le listage d'un répertoire. Mais cela n'empeche pas quelqu'un de lire directement un fichier si il en connait l'URL et le nom exact (c'est difficile connaissable mais bon...)

La méthode de LoveAngel pourrait elle corriger ce défaut?

Si l'utilisateur connait l'url, non.

Tu peux éventuellement mettre tes fichiers pdf hors du serveur web, comme le sont les scripts CGI par exemple.

[LoveAngel]

Ben, c'le rôle de l'htaccess dans le dossier, avec un Deny From All, il interdit l'accès à tous les fichiers du dossier :/
Puis, les personnes ne connaitrons plus l'url réelle, mais une url du style download.php?file=exemple ... et la, rien ne t'empèche d'y vérifier le login ! Tu ne fournis jamais la vraie adresse au final ...