Bloccare gli URL diretti

**evilclone** · 21-10-2005, 10:37

È possibile evitare che l'utente scriva nella sua barra URL un indirizzo diretto ad un file?

Il problema è che ci sono diversi file che non devono essere visualizzati se prima l'utente non è passato per determinate pagine. Ho sistemato in parte il problema settando delle variabili di sessione che vengono controllate all'inizio di ogni pagina protetta, ma è comunque aggirabile.
In pratica mi servirebbe un modo che consente di accedere alle pagine solo tramite la navigazione del sito e voglio bloccare tutti i link diretti.

**luca200** · 21-10-2005, 10:46

Si tratta di file php o di file scaricabili?
Nel primo caso c'è sicuramente modo di impedirlo attraverso il codice.
Nel secondo caso se vuoi proteggere i file devi metterli in una cartella alla quale sia impedito l'accesso via web, dopodiché per scaricarli userai un file php che li apre e li invia

**evilclone** · 21-10-2005, 11:21

Si tratta di normali file php.
Quello che voglio è che siano accessibili navigando normalmente attraverso il mio sito (tramite form o collegamenti che li chiama direttamente), ma se qualcuno prova a scrivere il nome diretto del file nella barra degli indirizzi, deve apparire un messaggio di errore che blocca l'accesso al file.

**Claudio Vituzzi** · 21-10-2005, 11:26

si fa a livello di web server...ma sa che si chiama x-protection o non so cosa...

**luca200** · 21-10-2005, 12:53

Puoi testare l'HTTP_REFERER, ma non è matematicamente sicuro.
Se no puoi usare le sessioni memorizzando ad ogni pagina dove si trova l'utente e verificando se la pagina precedente è compatibile con quella attuale

**Manuelandro** · 21-10-2005, 12:59

bah credo ke un buon controllo di sessione:

Codice PHP:


<?php

session_start();

if ($verified_user == '') header("Location: ");

session_register("verified_user");

?>

sommato ad un buon controllo del REFERER

Codice PHP:


$refere = "$_SERVER[HTTP_REFERER]";

if($refere == "http://www.tuosito.com/paginakevuoi.php") { }

..ti dia non una sicurezza al 100%, ma sicuramente una buona sicurezza difficilmente aggirabile!

**evilclone** · 21-10-2005, 15:42

Avevo già provato usando $_SERVER['HTTP_REFERER'], ma questa variabile non è affidabile.
Credo che l'unica cosa da fare sia continuare ad usare le sessioni settate... almeno per la parte importante del sito.

**pak0** · 07-12-2005, 21:24

Originariamente inviato da luca200
Si tratta di file php o di file scaricabili?
Nel primo caso c'è sicuramente modo di impedirlo attraverso il codice.
Nel secondo caso se vuoi proteggere i file devi metterli in una cartella alla quale sia impedito l'accesso via web, dopodiché per scaricarli userai un file php che li apre e li invia

Io ho il problema del secondo caso. Come si fa a proteggere l'accesso via web?

**luca200** · 08-12-2005, 12:09

Originariamente inviato da pak0
Io ho il problema del secondo caso. Come si fa a proteggere l'accesso via web?

Se usi Apache metti nella cartella un file di nome .htaccess e scrivici questo dentro:

codice:

Order allow,deny
Deny from all

Se è un server in hosting dovrebbe funzionare. Se il server è tuo devi configurarlo perché accetti l'impostazione.

**Jarno** · 14-01-2006, 17:09

e se invece che Apache ci fosse Asp (di Aruba)?

Discussione: Bloccare gli URL diretti

Strumenti discussione

Ricerca discussione

Visualizza

Bloccare gli URL diretti

Permessi di invio