Dateien schützen

[oli_]

Hallo,

ich habe vor einen Mitgliederbereich zu erstellen, wo die eingeloggten Member Zugriff auf Dateien haben die für andere vorenthalten sind. Nur wie mach ich das?

Es soll nicht über htaccess laufen, denn die Member sollen sich über die Startseite einloggen können und dann Zugriff haben.

Wie kann ich sowas realisieren?

[hubibi]

Naja auf "Dateien" auf deinem Webserver sollte ja sowieso nur deine Website zugriff haben. Dann musst du eben in deinem PHP Script (oder ASP, usw.) schauen welcher Anwender das Script ausführen darf.

[geloescht_JesterDay]

Es soll nicht über htaccess laufen, denn die Member sollen sich über die Startseite einloggen können und dann Zugriff haben.

Wie kann ich sowas realisieren?

Indem es doch über .htaccess läuft

Du verbietest per .htaccess den Zugriff für alle Adressen außer 127.0.0.1, also localhost. Die Dateien selber listest du dann per php auf und lieferst sie mit einem php-Skript aus.

Beispiel:

#download.php

<?php

# Prüfen ob skript von eingeloggtem Benutzer aufgerufen wurde

session_start();

if (isset($_SESSION["user_id"])

{

  if (isset($_GET["File"])

  {

    $filename = basename($_GET["file"]);

    # u.U. richtigen MIME-Type ermitteln

    header("Content-Type: application/octet-stream");

    header('Content-disposition: attachment; filename="$filename"');

    # Datei lesen und ausgeben

    read($_GET["file"]);

  }

}

else

echo "<h1>Bitte einloggen!</h1>!";

[/php]

Das ist natürlich nur ein Beispiel und sollte u.U. noch sicherheitstechnisch überdacht werden.

EDIT:

Oder einfacher (und ohne .htaccess):

du legst die Dateien einfach außerhalb deinen Webpfades ab. Dann hat über das Internet eh keiner Zugriff. Das Skript oben geht aber.

[Amstelchen]

HTTP-Authentifizierung mit PHP zeigt ganz schön, wie mittels setzen der header

Header("WWW-Authenticate: Basic realm=\"My Realm\"");

Header("HTTP/1.0 401 Unauthorized");

den usern zugriff verweigern kannst, ohne das mittels htaccess-sondern direkt in php steuerbar zu machen. das wäre dann auch auf ein nicht-linux-system portabel, falls erforderlich.

s'Amstel

[geloescht_JesterDay]

den usern zugriff verweigern kannst, ohne das mittels htaccess-sondern direkt in php steuerbar zu machen.

Mit dem angegebenen Beispiel sendet er nur eine Authentifizierungsaufforderung an den Client, der Browser macht daraufhin den Benutzername, Password-Dialog auf. Wenn auf eine Datei aber ohne die php-Datei zugegriffen wird, kommt keine solche Anmeldung. Und außerdem wollte er den Weg mit dem Anmeldedialog ja nicht gehen.

Man kann per php den 401 Code senden (genau wie jeden anderen), aber das fordert den Browser ja nur auf, ein Passwort zu erfragen. Dieses PW speichert der Browser dann zwischen und sendet es mit jeder Anfrage an den Server (wenn der Realm stimmt), bis wieder ein 401 kommt (daraufhin löscht er Name und PW für den entspr. Realm und frägt nach einem neuen). Es ist aber nicht möglich dem Browser einen Namen + PW unterzuschieben. Also eine .htaccess Datei mit Authentifizierung und dann per php einen Benutzer + PW setzen.