sichere Dokumentenablage ?

**Abraxax** · 19.08.2003, 11:08

also ganz ohne htaccess wirst du nciht auskommen, wenn dein hoster keinen bereich hat, der vom web aussen vor bleiben kann.

also legst du alle dateien in einen order, der mit htpasswd geschützt ist.

jetzt hast du erst einmal alle dateien dort, wo keiner dran kommen kann.

nun nimmst du eine DB-tabelle , in der die dateien mit namen abgelegt sind.

als weiteres kommt ein kleines usermanagement zum zuge, damit du weisst, welcher user eingeloggt ist. die user musst du mit ihren dateien in der db verbinden.

wenn du ein user einen download machen will, kannst du das mit einer hilfsdatei machen. dieser datei übergibst du die id der datei aus der DB. ausserdem musst du in der hilfsdatei prüfen, ob der user ein recht auf diese datei besitzt. wenn ja, kannst du diese datei mit readfile() ausgeben.

so. das war mal mein denkanstoss...

**mrhappiness** · 19.08.2003, 11:12

wenn du die dateien einfach oberhalb des webroots ablegst, brauchst du kein .htaccess

in der tabelle speicherst du, welchem benutzer aus der user-tabelle das bild gehört (evtl. welche gruppe zugriff haben soll) und fertig is

**iceman** · 19.08.2003, 11:32

Noch eine kleine Frage dazu...

Ich danke Euch erstmal.

Oberhalb des Webroot legen ist nicht schlecht, ich muss nur mal nachschauen ob ich da überhaupt hinkomme.
Ich glaube nämlich ich habe nur auf das Webroot selbst Zugriff.

Ein Frage noch zu der .htaccess-Variante:
Muss ich dann beim Aufruf dieser Datei über das Hilfsprogramm das .htaccess-Passwort mit übergeben und wird das dann nicht mehr angezeigt?
Oder umgeht das readfile dann diesen Schutz, weil es auf der selben Rechteebene wie der Schutz liegt?

Falko

**Abraxax** · 19.08.2003, 12:37

Re: Noch eine kleine Frage dazu...

Original geschrieben von iceman
Oberhalb des Webroot legen ist nicht schlecht, ich muss nur mal nachschauen ob ich da überhaupt hinkomme.
Ich glaube nämlich ich habe nur auf das Webroot selbst Zugriff.

@happy
genau das habe ich nämlich befürchtet. die meisten hoster bieten i.d.r. keinen zugriff auf verzeichnisse oberhalb des webroots.

Original geschrieben von iceman
Ein Frage noch zu der .htaccess-Variante:
Muss ich dann beim Aufruf dieser Datei über das Hilfsprogramm das .htaccess-Passwort mit übergeben und wird das dann nicht mehr angezeigt?
Oder umgeht das readfile dann diesen Schutz, weil es auf der selben Rechteebene wie der Schutz liegt?

das htaccess wird nur vom browser benötigt. also bei webzugriffen.
da du mit readfile() im lokalen verzeichnisbaum arbeitest, ist das kein hindernis für dich.

**MoRtAlAn** · 19.08.2003, 12:45

ein workaround (wenn du nicht oberhalb deines verzeichnisses speichern darfst), könnte dir vielleicht auch nützlich sein...

wenn der download so aussieht:

/downloads/d4b5b3d9f62365ffa389081949c89156/filename.zip

wobei "d4b5b3d9f62365ffa389081949c89156" die session des users ist! ist sie abgelaufen, geht der download nicht mehr

gruss

**iceman** · 20.08.2003, 10:03

Vielen vielen Dank an alle...

Jetzt hab ich genug Ansätze um so etwas zu testen und umzusetzen.
Vielen Dank nochmal an alle.

Falko

sichere Dokumentenablage ?