Download con path nascosto per davvero...

[Nime]

Ciao a tutti,
sto lavorando su una sezione autenticata di un sito per il download di file di aggiornamento.
Questi file risiedono al di fuori del webserver, con un path del tipo "ftp://[user]:[password]/cartella/file" dove cartella e file sono scelti dinamicamente in base all'identificazione dell'utente, e a parametri del file config del sito.

Ho realizzato un fighissimo sistema di download che forza lo scaricamento e nasconde il link, ma... quando compare la finestrella "salva con nome", nella barra del titolo compare tutto il path in chiaro quindi non ho risolto il problema anche se, di fatto, il codice PHP fa il suo dovere.

Voi come vi tutelate in questi casi di "download remoto"?
Conoscete qualche "trucco" con cui nascondere il path nella barra del titolo o nelle finestre di download del browser?

[filippo.toso]

Puoi utilizzare http://www.php.net/ftp per leggere il file che desideri far scaricare all'utente e http://www.php.net/header per farglielo scaricare.

[dottwatson]

io uso questo codice...

pagina download.php

Codice PHP:

<?php
$file=base64_decode($_GET['file']);

$filename="nomefittiziodelfile";

header("Content-type: application/force-download");
header("Content-Disposition: attachment; filename=$filename");
header("Content-Length: " .filesize($file) );
readfile($file);
?>

per lanciarlo uso questo

Codice PHP:

echo "<a href=\"download.php?file=".base64_encode($tuofile)."\">scarica</a>"; 


[filippo.toso]

Cosi' come lo hai presentato il tuo codice apre una falla nella sicurezza del sito (qualsiasi file può essere scaricato, compresi i sorgenti PHP).

[dottwatson]

Originariamente inviato da filippo.toso
Cosi' come lo hai presentato il tuo codice apre una falla nella sicurezza del sito (qualsiasi file può essere scaricato, compresi i sorgenti PHP).

ovviamente... ho anche i miei controlli prima di tutto, ma ho solo postato la meccanica correttamente funzionante

[Nime]

La connessione via ftp ci aveva dato dei problemi nella fase di test, per questo passiamo la stringa userassword@dominio invece di usare la funzione PHP suggerita da filippo.toso.

Proverò la soluzione di dottwatson per presentare un nome file diverso da quello che viene effettivamente proposto per il download. Grazie!

Edit: Funziona.

[dottwatson]

Originariamente inviato da Nime
La connessione via ftp ci aveva dato dei problemi nella fase di test, per questo passiamo la stringa userassword@dominio invece di usare la funzione PHP suggerita da filippo.toso.

Proverò la soluzione di dottwatson per presentare un nome file diverso da quello che viene effettivamente proposto per il download. Grazie!

Edit: Funziona.

ottimo
però giustamente come ha detto filippo, includi dei controlli prima di inviare il file in download, o avrai un cratere di sicurezza non indifferente!!!

[Nime]

Sisi, i controlli sono parecchi, tranquilli!