Discussion :

[Thordax]

Bonjour,

Je cherche à filtrer l'accès direct à des fichiers sensibles de mon site à certains utilisateurs.

Les utilisateurs qui y ont accès sont tous décrits dans une base MySQL (avec un id/mdp associé).

En gros, je cherche à restreindre l'accès direct d'une personne malveillante qui tenterait de faire par exemple cette requête :

http://monsite.free.fr/donneessensib...ieredonnee.pdf

=> faire en sorte que cette personne soit renvoyée à l'index de mon site et lui demande un login/mot de passe.

Et si l'utilisateur est déjà loggé et reconnu, il puisse télécharger le fichier en question.

J'ai noté qu'il est possible de restreindre l'accès à des fichiers d'un répertoire via le fichier .htaccess placé dans le répertoire en question.

Le problème est que de nouveaux utilisateurs viennent s'inscrire sur le site, la base des users change donc en permanence, et le fichier .htaccess devrait être modifié en permanence en fonction ...

Est-il possible de restreindre l'accès de ces fichiers à ces utilisateurs enregistrés en base SQL ?

EDIT : j'ai trouvé un lien intéressant, je vais donc commencer par là : http://www.widexl.com/tutorials/htaccess.html

[_Mac_]

La seule méthode que je vois c'est de rediriger systématiquement tout ce qui doit être protégé sur une page PHP qui contrôle l'utilisateur, redirige s'il faut sur la page d'accueil ou bien exécute ce qui est demandé si l'authentification est correcte.

J'ai maquetté ceci en 2 minutes, ça a l'air de fonctionner :
Fichier .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
RewriteEngine on
RewriteCond %{REQUEST_URI} !filtre_securite\.php
RewriteRule (.*) filtre_securite.php [QSA,L]

filtre_securite.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
session_start();
 
if (isset($_SESSION["login"])) {
	if ($_SESSION["login"] == "toto") {
		$URL = parse_url($_SERVER["REQUEST_URI"]);
		include($_SERVER["DOCUMENT_ROOT"].$URL["path"]);
	} else {
		header("Location: /login.php");
	}
} else {
	header("Location: /login.php");
}
?>

login.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
session_start();
$_SESSION["login"] = "toto";
?>
<html>
login
</html>

A toi d'adapter. Le principe c'est que login.php positionne une certaine variable de session (le login de l'utilisateur par exemple) qui est vérifiée par filtre_securite.php. Si cette variable existe et a la valeur attendue, la requête demandée est traitée, sinon on redirige sur l'écran de login.

[Thordax]

Merci beaucoup pour ton aide, Mac, je teste ça de suite.