Area download riservata e protetta

[guinness86]

Salve a tutti,
mi è venuto in mente di creare un'area riservata di download protetta da password.
Quest'area dovrebbe avere più o meno queste funzioni:
Un utente registrato (con i dati della registrazione salvati su una tabella SQL) ha la possibilità di accedere ad una pagina PERSONALE (diversa quindi da utente ad utente) e visualizzare i suoi download disponibili.
I file verranno caricati dall'amministratore ed attribuiti ad ogni singolo utente secondo un ID univoco di registrazione utente.

Ovviamente i file non devono essere visibili dall'esterno, quindi per accedere all'area personale ogni utente deve effettuare un login.
L'utente deve, quindi, consultare e scaricare ESCLUSIVAMENTE i file identificati con in suo ID univoco.

Io pensavo ad una roba simile:
Amministratore dalla sua pagina personale seleziona l'utente a cui attribuire un determinato file, effettua l'upload, il file viene caricato in una determinata directory e contemporaneamente in una tabella SQL viene memorizzata la path del file correlata all'ID univoco dell'utente.
L'utente, di contro, effettua il login e sulla tabella viene effettuata una select con la condizione di visualizzare SOLO i file dell'utente con dato ID univoco.

A questo punto non saprei come proteggere il tutto.
Fino alla protezione delle pagine con le SESSION di php non ho problemi...o almeno è una soluzione "di base" ma per il momento può andarmi bene.
Il problema è la protezione dei file...se utilizzo il sistema di .htaccess non ho la possibilità di differenziare i login dei vari utenti...

Qualche soluzione a questo problema?
Qualcuno ha già realizzato qualcosa di simile e può darmi qualche suggerimento?

Grazie mille!!

[eiyen]

un'osservazione (sembra così, ma mi pare strano): i file sono attribuiti univocamente uno per ogni utente e questa assegnazione non può più cambiare?

[guinness86]

Esatto, in pratica dovrei fornire dei documenti fiscali ad ogni utente registrato.
Cioè il sig. Marco Neri ha il suo documento fiscale, quindi è solo il suo, non verrà assegnato a nessun altro.
Il sig. Marco Neri accede alla sua pagina personale e può consultare tutti i suoi documenti personali per scaricarli.

[eiyen]

se sono così restrittive le condizioni probabilmente ti conviene semplicemente caricare i file degli utenti in una LORO cartella: puoi proteggere più semplicemente i contenuti, in questo caso, proteggendo direttamente l'intera cartella

[guinness86]

Beh a questo ci avevo pensato, magari alla registrazione dell'utente faccio inserire i dati di registrazione nella tabella SQL (id,nome,cognome,email,username,password,ecc ecc), faccio creare sul server una cartella appartenente all'utente...però come faccio poi per assegnare a QUELLA cartella il login con i dati di accesso che ha scelto l'utente al momento della registrazione?!?!

[eiyen]

Dipende come avviene il login... in generale puoi mettere tutte le "cartelle-utenti" protette con ".htaccess" in modo che non si possa accedere "esternamente" (via http)... le cartelle potrebbero anche essere "fuori" dalla root del webserver (quindi "fisicamente" irraggiungibili).
Nei tuoi script, quando l'utente si "logga" vedrà una lista dei file che tu gli mostrerai e il "download" avverebbe attraverso un tuo script.

[guinness86]

Una curiosità, se io proteggo una cartella con .htaccess posso effettuare il download dei file presenti all'interno attraverso uno script php per forzarne il download?

[eiyen]

sì (verosimilmente lo script NON è in quella cartella... sta da un'altra parte e richiama quei file magari con un riferimento relativo)