Come gestire i permessi dei file su server con PHP

[itajackass]

Sto facendo un progetto per la scuola dove chi visita il mio sito, si registra tramite informazioni ke vengono scritte in un database con mysql. Quando registrato viene creata una sua cartella con lo stesso nome del nickname scelto.(l'utente rimane loggato con l 'uso delle sessioni php) Una volta fatto, l'utente può creare album (cartelle dentro la sua cartella "nickname") e uppare immagini dentro queste. Fin qui tutto ok, provato in locale senza problemi! Ora è il momento di aumentare un pò la sicurezza per quando sarà online... come faccio a far si che le cartelle/immagini uppate da un utente ke si registra solo attraverso DB mysql, possano essere MANIPOLATE/CANCELLATE SOLO DA LUI (oppure da me ovviamente che posseggo la password x accedere via FTP)? e invece ad un utente malintenzionato (che sia loggato con altro nome,es "nickname2"...ma anche non loggato ovviamente) che scrive un semplice script php (sapendo ke le cartelle hanno i nomi dei nick!!!) con dentro RMDIR("./percorso/nickname1") venga negata la modifica dei dati altrui???
Spero di essermi spiegati decentemente...in poche parole... utente1 ha la sua cartella in remoto e può farci quello ke vuole...gli altri utenti possono solo visualizzare il contenuto...

[dottwatson]

innanzitutto non creare cartelle con il nick semplice dell' utente.. ti consiglio di creare la cartella con un nome= nick_password in md5 ... sfido l' hacker a capire come possano chiamarsi le tue cartelle in quanto dovrebbe venire a conoscenza di nick e pass...

Codice PHP:

$cartella = md5("$nickname_$password");
mkdir($cartella,0777); 


inoltre ti consoglio di studiarti un attimo gli htaccess che servono proprio a impedire/limitare gli accessi diretti alle cartelle dall' esterno

già qui hai i tuoi punti di sicurezza in piu'

[itajackass]

ti ringrazio della risposta. x il nome della cartella ok,seguirò il consiglio. ma per il file htaccess io non ho accesso in quanto il professore, per il progetto mi ha dato la pass+nick x accedere a ftp in CARTELLA_PROGETTO/WWW

quindi io nn posso modificare le impostazioni di apache,php ecc...ho solo il mio spazietto sul server. Altra domanda... l'ultimo 7 della mkdir dice che tutti gli utenti esterni possono leggere scrivere e accedere alla cartella creata...ma quindi...i visitatori ke si iscrivono sul mio database sono semplicemente utenti esterni? scusa nn son molto pratico dei permessi come vedi

Non ho ancora compreso il modo di negare la modifica delle cartelle create da un utente che si registra nel DB, da parte di un utente-2... in quanto tutti questi utenti non hanno un vero account sulla macchina

[itajackass]

up