Problema:
sul server apache ho una directory 'prova' in cui sono contenuti dei files che non voglio siano accessibili a tutti gli utenti, ma solo a quelli che si sono autenticati (attraverso una procedura php che imposta alcune variabili di sessione).
Ora non volgio che chiunque digitando nel browser http://miosito.com/prova/ veda l'elenco dei files contenuti e possa eseguire il download di uno di questi, questa cosa deve essere possibile sono agli utenti autorizzati.
Qualche idea?
Grazie!!!
Usa .htaccess ed .htpasswd
Se cerchi su google trovi tante guide.
Questi due file permettono di definire una lista di utenti e relative password. Solo questi untenti potranno listare la directory una volta inseriti user e password.
Ciao
someone told me
love would all save us
but how can that be
look what love gave us
Ciao Stoppy,
il problema di usare .htaccess e .htpasswd è che gli utenti effettuano già un login al sito attraverso uno script php e quindi non mi va che, al download dei files nella directory prova venga nuovamente chiesta la password.
L'ideale sarebbe far sapere ad apache se è presente o meno la sessione php con i dati dell'utente...
Creare una pagina index.php a cui si accede solo se hai la sessone attiva e che ha al suo interno uno script per listare i file nella directory?
Non credo cmq che apache possa leggere sessioni php... per questo passo la parola.
someone told me
love would all save us
but how can that be
look what love gave us
Ok ho capito cosa intendi...mi è venuta un'idea, del tipo di creare uno script per il donwload del file. A dire il vero tutto il problema nasce dal fatto che i files nella directory prova non possono essere scaricati da chiunque, quindi alla pagina di download si accede solo tramite autenticazione. In questa pagina compare l'elenco dei dei files e quando un utente clicca sul link per scaricarlo, si vede il percorso in cui sono questi files e qualcuno di smaliziato potrebbe cercare di accedere alla directory senza essersi autenticato, col risultato di scaricare i files comunque!
Capito???
Cmq grazie per l'interessamento
fai una pagina e la chiami download.php
dentro ci metti un:
In questo modo l'utente non vede il percorso.Codice PHP:<?php
header("location: url_del_file");
?>
Ciao
someone told me
love would all save us
but how can that be
look what love gave us
Anche questa è un'idea...ne avevo un'altra: rendere privata la cartella prova (con authtypa basic, ecc.) e prima di eseguire il donwload inviare con php (senza che debba farlo l'utente) il nome utente e la password per l'accesso (con una cosa tipo $_SERVER['PHP_AUTH_USER']). Ora faccio delle prove e poi vi dico il risultato.
Grazie ancora!!!
Permessi di invio
Rispondi quotando