Discussion :

[Riko63]

Bonjour,
je viens d'effectuer une recherche sur le forum mais sans trouver de réponse (peut être ai-je mal cherché). La question revient souvent, mais il semblerait que j'ai un soucis un peu différent.

Voici mon problème:

je réalise un script pour une amie afin de réaliser une galerie photos avec des droits d'accès différents selon les utilisateurs (via MySql).
La gestion d'accès aux galeries est OK mais par contre rien n'empêche à un utilisateur d'accéder directement (via l'url) aux dossiers contenant les photos.
Après plusieurs lectures je me retourne vers la réécriture de l'url afin de soumettre l'affichage à condition via une page php (Un peu comme ce post.

Le problème est que mon hébergement actuel ne gère pas l'url rewriting.

Auriez vous d'autres solutions à me proposer pour protéger l'accès à mes photos (privées).

Merci d'avance pour vos réponses.

[Séb.]

Tu peux placer un fichier .htaccess contenant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Deny from all

Le visiteur qui accèdera directement au répertoire obtiendra un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Forbidden
 
You don't have permission to access / on this server.

[Riko63]

Merci de ta réponse mais si je met un "Deny from all", je ne pourrais plus insérer mes images dans un page.

Si je réalise une page du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
$autorisationAffichageImages = true;
 
if($autorisationAffichageImages === true)
echo '<img src="galeries/gal_1/grandes_79.jpg" />';
else
  echo 'Vous n\'êtes pas autorisé à voir cette image';
?>

Mon image ne s'affiche pas.

[Séb.]

(Msg précédent non pertinent supprimé)

Je récapitule :
- Tu gères les droits d'accès des galeries en PHP
- Tu ne veux pas qu'on puisse naviguer parmi les répertoires d'images

C'est bien ça ? Si oui alors tu devrais pouvoir désactiver le listing des images en plaçant dans un .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

IndexIgnore *.jpeg *.jpg

Cependant ça n'empêchera pas d'accéder directement à l'image si on connaît son URL.

[Riko63]

Seb, tu as bien compris mon soucis mais il faudrait que les gens qui n'y sont pas autorisés ne puissent pas accéder aux images (ni par le listing ni par l'url) .
Si je ne bloque pas l'accès à ces images cela ne sert pas à grand chose de créer des galeries privées
Je crois que je vais investir dans un hébergement un peu plus adapté.
Crois tu que l'url rewriting soit une des meilleure solution dans ce cas ?

[Séb.]

Si je ne bloque pas l'accès à ces images cela ne sert pas à grand chose de créer des galeries privées

Ouaip je sais bien, j'essayais juste de trouver une solution raisonnable avec tes contraintes

Crois tu que l'url rewriting soit une des meilleure solution dans ce cas ?

Certainement.

[Riko63]

Donc mon choix est fait, je vais passer à un hébergement permettant la réécriture des url.

Merci pour l'instant et à bientôt pour une autre question de débutant.

[lunarnet76]

y a une autre solution un peu tirer par les cheveux mais qui marche,
avec le .htaccess tu interdit purement et simplement l'affichage de toute image, donc meme avec l'URL exact tu y a pas accés,

Ensuite tu fais un script PHP qui prend en parametre l'url du fichier (enfin genre ton image est dans /var/www/image/1.jpg tu met juste 1.jpg) et ton script php va verifier que tu as le droit (tu fais ca comme tu veux) et si oui il lit l image et la renvoi (en gros un truc du genre readfile()), en specifiant bien le type de contenu dans le header (en recuperant ca avec par exemple fileinfo).

apres je sais pas quels sont les meilleurs solutions pour faire ca mais la solution en soit marche!

[Séb.]

C'est ce que je voulais éviter en parlant de solution "raisonnable".
Ce procédé, quoiqu'assez efficace, est gourmand en ressources

[Riko63]

lunarnet76 j'étais entrain de tester cette solution qui fonctionne très bien. Etant assez confiant je reviens sur ce forum pour vous informer que j'avais trouvé une solution et je viens de tomber sur la réponse de Séb .

Etant donné que je viens de prendre un hébergement avec la réécriture activée, je pencherais surement vers cette dernière.

J'attends l'activation de ce nouvel hébergement pour vous donner des nouvelles.

[Riko63]

Me revoilà ( ça n'aura pas durer longtemps).

Voici ce que j'ai fait dans mon fichier htaccess dans le dossier à protéger.
Est-ce que c'est correct ?
Doisje mettre ce "Options +FollowSymlinks", j'ai pas bien compris son utilité.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# empêche de lister le dossier
Options -Indexes
 
# liens symbolique --- pas compris à quoi ça sert exactement
Options +FollowSymlinks 
 
# activation de la réécriture d’URL obligatoire
RewriteEngine On
 
# j'ajouterai cette ligne lorsque le site sera sur mon espace
#on compare la variable HTTP_REFERER au domaine du site 
#RewriteCond %{HTTP_REFERER} !^http://www.rikoweb.fr/.*$ [NC] 
 
# réécrire l'url
#expression régulières pour détecter les images
# le "-" indique de ne pas réécrire l'url et le flag [F] renvoi erreur 403 
ReWriteRule .*\.(gif|png|jpe?g)$ - [F]