Discussion :

[krhyme]

Bonjour à tous,

Je possède un site ou chaque membre s'identifie grâce à une session ($_SESSION) suite à une vérification sur ma base mysql.

J'aimerai que suivant le membre qui se logue, il ait accès seulement à certains fichiers (les droits sont définies ds ma base mysql).

Je pense qu'une identification .htaccess est le seul moyen de protéger efficacement l'accès aux fichiers, mais comment l'adapter à mon cas?

Merci d'avance pour vos suggestions.

[_Mac_]

Tes fichiers sont tous dans un (ou des) répertoire(s) dédié(s) à ces fichiers ou bien ont une URL bien reconnaissable ? Dans ce cas, c'est un mélange entre .htaccess et PHP. Dans le cas simple où les fichiers sont tous dans un répertoire dédié, tu mets ceci dans le .htaccess de ce répertoire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !index\.php$
RewriteRule (.*) index.php?file=$1 [L]

Avec ce fichier, toutes les requêtes qui sont faites sur ce répertoire sont redirigées sur index.php : on utilise alors index.php pour vérifier l'utilisateur et s'il peut télécharger le fichier demander :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
// Fonction utilisee pour bloquer l'acces aux fichiers
function unauthorized() {
    header("HTTP/1.X 401 Forbidden");
    exit();
}
 
// On recupere l'identifiant de l'utilisateur
if (isset($_SESSION["login"])) {
    $user = $_SESSION["login"];
} else {
    unauthorized();
}
 
// On verifie que le parametre file est positionne
if (isset($_GET["file"])) {
    $file = $_GET["file"];
}
    unauthorized();
}
 
// On verifie que le fichier demande est autorise pour l'utilisateur
// La, tu te connectes a ta base de donnees et tu fais ta verification
...
// Si le fichier est autorise pour l'utilisateur, tu le renvoies, sinon tu bloques l'acces
if (...) {
    include($_SERVER["DOCUMENT_ROOT"].$file);
} else {
    unauthorized();
}
?>

le include($_SERVER["DOCUMENT_ROOT"].$file) marche en principe mais il faut quand même vérifier que ce chemin est bon (chez certains hébergeurs, $_SERVER["DOCUMENT_ROOT"] n'a pas la valeur attendue).

[krhyme]

Ah la la tu déchires mac!

Merci pour ta réponse rapide, c'est exactement ce qui me fallait!

Sinon penses tu que cette méthode est assez sécurisée pour mettre des fichiers sensibles ou en existe-t-il d'autres plus poussées?

[_Mac_]

Je pense que c'est suffisamment poussé, d'autant plus qu'en appelant ton script index.php, s'il y a un problème avec le .htaccess, tu n'auras pas de "directory listing". Pour le coup, ajoute

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Options -Indexes

tout en haut du .htaccess.

Ensuite, la sécurité vient aussi du script index.php : il faut qu'il soit suffisamment robuste pour prendre en compte tous les cas, toutes les valeurs possibles pour le paramètre file (notamment, attention à l'injection SQL).

[krhyme]

C'est bien noté, merci en tt cas!