download/upload Seite integrieren

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • download/upload Seite integrieren

    Hallo,
    Ich bin dabei ein Script zu schreiben das zur Verwaltung von Terminen und Anträgen für Vereine ausgelegt sein wird.
    Nun stehe ich vor dem Problem das ich nicht genau weiß wie ich dort am Besten eine Download Seite implementieren soll. Ich habe bereits eine Userauthentifzierung mittels mysql realisiert. Nachdem man sich angemeldet hat kann der Benutzer Daten in ein bestimmtes Verzeichnis hochladen. Anschließend werden dann name, größe und Link zur Datei in eine Tabelle geschrieben.
    Leider kann so momentan jeder, der den genauen Link zu der Datei kennt, diese Datei herunterladen. Das soll aber so nicht sein.
    Kann mir jemand eine Hilfestellung geben, wie ich das halbwegs professionell realiseren kann?

    Gruß
    Tobias

  • #2
    speicher die dateien über dem doc_root ..
    danach hilft dir fpassthru beim download
    mfg,
    [color=#0080c0]Coragon[/color]

    Kommentar


    • #3
      Hallo,
      Danke für die schnelle Antwort.
      Meines Wissens ist doch doc_root ein verzeichnis auf dem Server, das nicht über http angesprochen werden kann oder?
      Ich sehe da nämlich das Problem, wenn jemand das Script installiert und keinen shell Zugriff auf den Server hat, hat er doch auch kein doc_root oder? Oder ist das doc_root verzeichnis das verzeichnis das unter dem durch html zuerreichenden Verzeichnis liegt?
      Ich bin da momentan ein wenig verwirrt.
      Ist es nicht auch möglich ein Verzeichnis zu erstellen, in das die Daten kopiert werden, welches eben die rechte 750 oder so ähnlich besitzt?

      gruß

      Tobias

      Kommentar


      • #4
        kannst du machen wie du willst, drunter, drüber, daneben .. spielt keine rolle
        du willst halt dass kein zugriff über die dateien ist => eigenes verzeichnis + .htaccess ..
        oder eins überm doc_root (was has html/ sein kann .. also dasjeniger verz das aufgerufen wird wenn du nur die domain eingibst) - das is dann sowieso sense von aussen ..
        oder du benennst deine dateien so: dl_*
        und sperrst per htaccess diese dateien wenn der referer nicht dein php skript ist ..

        möglichkeiten gibts einige

        btw: 750 wird sich ned spielen, da php wahrscheinlich nicht unter deinem benutzernamen läuft, php dürfte dann also ebensowenig diese dateien lesen ..

        zu meiner letzten erwähnten möglichkeit, siehe http://www.trafficklau.de
        mfg,
        [color=#0080c0]Coragon[/color]

        Kommentar


        • #5
          Hallo,
          Mit .htaccess habe ich schon gearbeitet.
          Wollte davon aber weggehen, da sich sonst die Nutzer nochmal extra für den download authentifizieren müssen.
          Gibts da sonst noch ne andere Möglichkeit?

          Gruß

          Tobias

          Kommentar


          • #6
            Original geschrieben von tsaenger
            Mit .htaccess habe ich schon gearbeitet.
            Wollte davon aber weggehen, da sich sonst die Nutzer nochmal extra für den download authentifizieren müssen.
            nein, müssen sie nicht, wenn du .htaccess nur zum schutz der dateien vor dem runterladen über verzeichnisname/dateiname einsetzt (*).

            der tipp von Coragon Rivito mit dem extra script, welches die dateien "durchschleust", gilt für diesen fall natürlich weiterhin.


            (*) in diesem falle ist generelles sperren mittels allow/deny sicher empfehlenswerter, als HTTP AUTH.
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar


            • #7
              Ähhmmm
              Moment mal. Das verstehe ich nicht.
              wenn ich nen .htaccess schutz mache, dann muss ich mich doch immer authentifizieren. Ansonsten würde der schutz doch nichts bringen oder???
              Den tip mit dem fpassthru habe ich nur teils verstanden.
              Ich habe es da so verstanden dass ich ein Verzeichnis über dem html Verzeichniss erstellen muss, in dem die Dateien gelagert werden müssen. Leider bietet aber nicht jeder Webhoster diese Option an dort ein Verzeichnis zu erstellen.
              Sobald ich das Verzeichnis unterhalb anlege haben doch alle automatisch zugriff auf die Datei. Das ist nicht gewollt. Nur die, die sich in dem script eingeloggt haben sollen auch die files herunterladen dürfen. (ohne sich an einem popup fenster neu anmelden zu müssen)

              Gruß
              Tobias

              Kommentar


              • #8
                Original geschrieben von tsaenger
                wenn ich nen .htaccess schutz mache, dann muss ich mich doch immer authentifizieren. Ansonsten würde der schutz doch nichts bringen oder???
                es gibt keinen "htaccess schutz".

                es gibt HTTP AUTH (ausgelöst z.b. über eine .htaccess), dabei musst du dich mit username/passwort authentifizieren.

                daneben kannst du aber mit einer .htaccess z.b. auch per allow/deny festlegen, dass kein mensch über HTTP an die daten rankommt. mit einem script kannst du sie aber immer noch auslesen, da das nicht über HTTP, sondern das lokale dateisystem des servers zugreift.

                oder wie schon gesagt, oberhalb des doc root ablegen, dann gibt's auch keinen HTTP-zugriff darauf.

                und dein script kannst du ja so machen, dass es nur bei erfolgreicher authentifizierung des users tätig wird, und dann die datei einliest und zum client durchschleust.

                Den tip mit dem fpassthru habe ich nur teils verstanden.
                lies dir auf http://www.dclp-faq.de/q/q-datei-download.html durch, wie man sowas mit einem script macht.

                Sobald ich das Verzeichnis unterhalb anlege haben doch alle automatisch zugriff auf die Datei.
                *argh*, reden wir hier eigentlich chinesisch?

                wenn du das verzeichnis sperrst, so dass man über HTTP keinen zugriff darauf hat, dann hat kein mensch einfach so zugriff auf die dateien.


                also, lies den link den ich dir gepostet habe, und verstehe ihn bitte auch.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Hallo,

                  Vielen Dank!
                  Nun habe ich es endlich verstanden.

                  Gruß

                  Tobias

                  Kommentar


                  • #10
                    OffTopic:
                    vielleicht sollte ich meine ausdrucksweise überdenken
                    mfg,
                    [color=#0080c0]Coragon[/color]

                    Kommentar

                    Lädt...
                    X