proteggere files in area riservata

[13manuel84]

ho un'area amministrativa in cui l'amministratore (appunto ) carica dei files che possono vedere solo certi utenti registrati, ma mi stavo chiedendo, se un tizio spara a caso l'indirizzo e azzecca per sbaglio un file ci accede tranquillamente anche se non è registrato. Lo posso evitare questo?

Penso sia un pò improbabile che uno azzecchi il file perché nel momento dell'upload lo rinomino con una stinga alfanumerica casuale di cui poi calcolo l'hash md5 ma non vorrei ci fossero altri metodi per raggirare il tutto...illuminatemi






Un grazie a chi mi aiuterà!



p.s. senza dover metter le mani su apache ma strettamente con php

[Manuelandro]

ma scusa, se le pagina sono protette dalla variabile di sessione, anke se qlk riesce a trovare l'url, non può visualizzare nulla!

[13manuel84]

si ok che le pagine sono protette dalla sessione, ma i files non sono protetti da niente quindi anche pippo che non ha accesso se digita www.sito.it/area-protetta/files/qwerty.pdf può scaricarmi tranquillamente il file anche se non è collegato nella mia area.

Ora il mio problema non è tanto che azzecchi l'url perché è alquanto difficile, ma la "paura" che ci siano metodi di bypassare il tutto e scaricarmi i files.

[marketto]

Originariamente inviato da 13manuel84
p.s. senza dover metter le mani su apache ma strettamente con php

ciao, per evitare il download diretto devi usare htaccess per proteggere il contenuto della directory, mentre per gestire i download dei file per gli utenti registrati devi crearti uno script ad-hoc che legge il file e lo spedisce al brower.

[dinucciarturo]

Originariamente inviato da 13manuel84
si ok che le pagine sono protette dalla sessione, ma i files non sono protetti da niente quindi anche pippo che non ha accesso se digita www.sito.it/area-protetta/files/qwerty.pdf può scaricarmi tranquillamente il file anche se non è collegato nella mia area.

Ora il mio problema non è tanto che azzecchi l'url perché è alquanto difficile, ma la "paura" che ci siano metodi di bypassare il tutto e scaricarmi i files.

e se i file li caricassi sul db ti rusulta scomodo??

[13manuel84]

Originariamente inviato da dinucciarturo
e se i file li caricassi sul db ti rusulta scomodo??

si

se non non l'avrei chiesto. I file da caricare saranno molti, e alcuni dei quali saranno anche pdf da diversi mega, non voglio (e non vuole il capo) che sovraccarichi il db con i blob.

[13manuel84]

Originariamente inviato da marketto
ciao, per evitare il download diretto devi usare htaccess per proteggere il contenuto della directory, mentre per gestire i download dei file per gli utenti registrati devi crearti uno script ad-hoc che legge il file e lo spedisce al brower.

ecco. Se uso htaccess mi crasha il server. L'ho provato anche con il mod-rewrite (se ricordi la nostra discussione )

Non so come mai, si vede che il php che mi hanno messo a disposizione ha certe restrizioni che non mi permettono di fare certe cose.



Grazie per la risposta


p.s. una cosa che non ho ancora capito è perché mi hanno messo a disposizione un php senza permettermi di caricare htaccess, e hanno invece settato le register_globals a On. Bella sicurezza

[dinucciarturo]

Originariamente inviato da 13manuel84
si

se non non l'avrei chiesto. I file da caricare saranno molti, e alcuni dei quali saranno anche pdf da diversi mega, non voglio (e non vuole il capo) che sovraccarichi il db con i blob.

pardon!