Discussion :

[Scritch85]

Hello!!

Sur ma page, les utilisateurs peuvent uploader des fichiers .doc pour que je puisse les récupérer. Ils ont cependant le droit de relire leur doc envoyé après upload. Mais je ne veux qu'aucun autre membre ne puisse accéder aux docs des autres. Jusque là, pas d'embrouille...

J'ai donc pensé insérer dans la base de données, à chaque upload par un membre, l'id du user et un lien vers son fichier sur le serveur du type:

/uploads/XXXXXXXXXXXXX.doc

, les X étant des caractères générés aléatoirement pour "crypter" le nom du fichier (plus ou moins)

Ainsi, lorsqu'un membre veut ré-ouvrir son fichier uploadé, une page "download.php" est appelée, elle vérifie la session du user, puis va chercher le fichier qui lui correspond et l'affiche

Pensez-vous que niveau sécurité, cela est suffisant ? Générer une suite de 10 caractères empêchera t il de manière suffisante l'accès aux fichiers des autres users du site ? Ou je dois sécuriser encore plus (les données sont critiques...)

[sabotage]

Il suffit que le repertoire contenant les fichiers soit interdit d'accès.

Ta page download.php et la verification de l'identité deviennent un passage obligé pour obtenir un fichier.

[ABCIWEB]

Si le répertoire contenant les fichiers est interdit d'accès et que tu fais afficher tes document via un header en php, tu peux très bien contrôler le fichier indiqué dans le header puisque ce nom est indiqué dans ta bdd en fonction de l'user authentifié, et donc un "cryptage complémentaire" ne sert à rien ...