Creazione cartelle virtuali

[Alifuma92]

Buongiorno a tutti!

Vorrei avere dei feedbacks in merito al sistema che sto sviluppando per sapere se sono sulla strada giusta oppure dovrei migliorarla con i vostri consigli

Sto creando un sistema di archiviazione file per gli utenti del mio sito.
In pratica sto creando un sistema che permetta all'utente di creare cartelle e sottocartelle navigabili in cui potrà salvare file.

Ogni volta che un'utente crea una cartella mi salvo nel record del db un:
id, codice_univoco (32 caratteri random), nome cartella, genitore della cartella (in modo da poter tener conto della gerarchia), id_utente_proprietario della cartella creata.

ovviamente i file salvati saranno in una tabella che associa l'id della cartella con il nome del file.

Il contenuto della cartella lo mostro all'utente attraverso un'URL di questo tipo:

www.sitoweb.est/cartella/codice_univoco

Vorrei sapere se sono sulla strada giusta e se dal lato sicurezza sono più o meno a posto facendo un controllo sul proprietario della cartella...(se sei loggato e il tuo id utente coincide con quello del proprietario della cartella nell'URL allora entri altrimenti no...)

Grazie in anticipo a tutti!

[Marcolino's]

Diciamo che nella cartella ci sono foto, e se trovo che so un'immagine magari caricata da google e la linko in un mio file o la scarico sul mio pc, come fai a gestire la proprietà e la privacy di quell'immagine?
Voglio dire: va bene che non mi fai entrare nella cartella, ma se faccio un link diretto a qualcosa nella cartella è verificata la segretezza o me lo mostra?

[Alifuma92]

Grazie marcolino's per la risposta!
quelli che ho chiamato "file", in realtà non sono file, ma sono oggetti creati con un softwere della web app... quindi questo sistema di archiviazione servirebbe per salvare il lavoro prodotto. In realtà però, questo tuo discorso sulle immagini mi fa venire in mente una cosa:
in effetti l'utente nel lavoro ha la possibilità di inserire un'immagine di sfondo... io non faccio nessun controllo sul link che va ad inserire... pero forse basta mettere in fase di registrazione una clausola che indica la responsabilità dell'utente a non caricare materiale coperto da copyright? funziona cosi?

[zacca94]

si può anche non inserire in database

/
/cartelle_utenti/
/cartelle_utenti/utente_1/
/cartelle_utenti/utente_1/nome_casuale1/
/cartelle_utenti/utente_1/nome_casuale2/
/cartelle_utenti/utente_1/info.xml

e nell'info.xml tieni i nomi cartelle associati ai nomi casuali, così è pure più semplice fare lo stamp delle cartelle e sotto-cartelle con un readdir recorsivo, però è solo un opinione, se vuoi fare con db sei liberissimo di farlo, sicuramente hai più "libertà"

[Marcolino's]

Un xml non è sicuro, è solo nu file di testo reperibile da chiunque, poi leggerlo è più complesso di un sql, ma la questione rimane non quella del copyright, è un problema dell'utente, e non è che mettendo una "roba illegale" nascosta protegge lui e te, è pur sempre una "roba illegale".
Ovviamente, illegale è una cosa, copyright leggermente diverso, ma non è questo il punto; il punto è quanto sono sicure queste cartelle, francamente non ho nemmeno capito cosa intendi tu quando parli di "cartella/file virtuale", ci sono o no nel file system del server?

[Alifuma92]

le cartelle non esistono nel file system... sono solo dei record nel database "tabella cartelle"
esempio...
tabella cartelle:
id, codice, nome, proprietario,genitore
1,1234,cartella1,id_utente_proprietario, 0 (non è una sottocartella)

all'URL miosito.est/archive

mostro tutti record(cartelle) che hanno campo "genitore = 0" e id_proprietario = id_utente in sessione

Per gli oggetti creati (li chiamo file anche se non sono file) ho una "tabella oggetti"
id, id_cartella, id_proprietario, ecc
1,1,id_utente_proprietario, ecc

cosi quando clicco la "cartella 1" andrò all URL miosito.est/archive/1234 -> "1234" è il codice di cartella 1

che mostrerà oggetti e cartelle che hanno come genitore "cartella 1".

Ripeto: queste cartelle "NON esitono" nel file system, ma sono appunto virtuali... in quanto sono solo dei record nel db per permettermi l'archiviazione più ordinata.

[Marcolino's]

Be allora da un certo punto della sicurezza stai a posto, essa è demandata ad un solo sistema, cioè al database e al limite al sistema di login.

[Alifuma92]

Esattamente quindi banali controlli su login e proprietà delle cartelle virtuali dovrebbero essere sufficienti