Interner Bereich - Dateien schützen

[deedee]

Zitat:

Zitat von einsteigi

Hat jemand Dateien schon mit htaccess geschützt und zwar nicht mit Hilfe eines Popup-Fensters?.

Wie shon geschrieben im diesem post, das geht mit htaccess
Man kan so die directe links zum files lassen wie sie wirklich sind

Ein weiteres beispiel

PHP-Code:

<?php 
/*
download.php 
.htaccess mit 
RedirectMatch 301 /downloads(.*) http://www.domain.de/download.php?file=$1
/*
Movies im folder: downloads
Fur dieser test ein movie im downloads folder: test.mpeg
*/
session_cache_limiter('private');  
session_start();  
$dir = "downloads"; 

// simulate login check ( fixed value hier )
if (isset($_POST['user']) && $_POST['user'] == "demo") {
    $_SESSION['user'] = $_POST['user'];
}
// user session controlle hier, ein redirect fur die nicht user 
// oder ein formular zum einlog, was man wil
if (!isset($_SESSION['user'])) {
    if (isset($_GET['file'])) {
        header("Location: " . $_SERVER['SCRIPT_NAME']);
        exit;
    }
?> 
    <html>
    <head>
    <title>Login</title>
    </head>
    <body>
    <form action="<?php echo $_SERVER['SCRIPT_NAME']; ?>" method="POST">
    <input type="text" name="user" value=""> User ist: demo <br>
    <input type="submit" value="Senden"> <br>
    </form> <br>
    <a href="downloads/test.mpeg">test.mpeg</a> ( dieses will nicht )
    </body>
    </html>
<?php
    exit;
} else if (!isset($_GET['file'])) {
?> 
    <html>
    <head>
    <title>Movie</title>
    </head>
    <body>
    <a href="downloads/test.mpeg">test.mpeg</a>
    </body>
    </html>
<?php
    exit;
} else if (isset($_SESSION['user']) && isset($_GET['file']) && is_file($dir."/".$_GET['file'])) { 
    // set a timelimit fur grosse movies
    // set_time_limit(3600);
    if (ini_get('zlib.output_compression')) {
           ini_set('zlib.output_compression', "Off");
    }
    // controlier das datei type und setz das correcte datei typ ( beispiel ist nur mpeg )
    header('Content-type: video/mpeg');  
    header("Content-Transfer-Encoding: binary");
    header('Content-Disposition: inline; filename="' . basename($_GET['file']) . '"');
    header("Content-Length: " . filesize($dir."/".$_GET['file']));
    header("Connection: close");
    $stream = fopen($dir."/".$_GET['file'], 'rb');
    while (!feof($stream)) {
        echo fread($stream, 1024 * 4);
    }
    fclose($stream);
    exit;
} 
?>

[einsteigi]

@ deedee: Danke für dein Beispiel nochmals. Jetzt denke ich habe ich es kapiert.

in /downloads kommt eine .htaccess mit Inhalt:

PHP-Code:

RedirectMatch 301 /downloads(.*) http://www.domain.de/download.php?file=$1 


Sorgt dafür, dass jeder direkte Aufruf in das Verzeichnis /downloads zu der Einlogseite http://www.domain.de/download.php?file=$1 ungeleitet wird.

Die Einlogseite ist dann das geposte Script von deedee.

Falls bei meinen Gedanken was falsch sein sollte bitte posten. Ansonsten vielen Dank für eure Hilfe!

[deedee]

Der htacess konnte auch im downloads folder stehen, aber er solte dan so etwas sein

<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>

RedirectMatch 301 (.*) http://localhost/download.php?file=$1

Der return wert ist dan /downloads/test.mpeg

Getested hab ich dies mit dieser structur, aber when man das file path anpast in script sind verschiedene combinationen moglich

download.php
.htaccess
/downloads

Der einlog muss man nicht unbedinkt in dieses script machen, wen die user einmall eingelogd sind kan man hier auch nur ein session controlle machen und redirecten mit ein header wen sie das nicht sind ( also das script nur als download manager verwenden ). Auf ein 'live' site solte da auch nog einige controlle auf ./ ../ correctes dir path und extension platz finden, und fur die dateien das correcte type setzen ( am sontzen kan man ja alles an downloads bekommen von den server )

[einsteigi]

Hallo,
jetzt habe ich och eine Frage.

Der direkte Zugriff auf Dateien ist ja nun verboten.
Kann mein Script trotzdem Filme einbinden. Quasi wenn der WindowsMediaPlayer in die Webseite eingebettet ist. Oder geht das so nicht.

Wenn nein, wie kann man es realisieren.

Falls ja, wie realisiert man das?

[deedee]

Der url andert sich nicht.
Wenn du

<html>
<head>
<title>Movie</title>
</head>
<body>
<a href="downloads/test.mpeg">test.mpeg</a>
</body>
</html>

in das Beispiel erzatz mit

<html>
<head>
<title>Movie</title>
</head>
<body>
<object id="video"
classid="clsid:6bf52a52-394a-11d3-b153-00c04f79faa6"
type="application/x-oleobject" data="downloads/test.mpeg">
<param name="url" value="downloads/test.mpeg">
<param name="autostart" value="true">
</object>
</body>
</html>

Sollte das functionieren mussen.

Eventuell konnte man das Script ändern das auch die nicht angemeldete Benutzer
ein 'default' movie serviert bekommen.

[Wellenbrecher19]

Ich komme auf eine ganz andere Idee....

Das Verzeichnis der Doks wie DeeDee das sagt schützen.

In der Datenbank den Direktlink speichern, der auf die Datei in dieses Verzeichnis zeigt.

Bei einer Anfrage muss eine PHP Seite sich verifizieren, um die Datei anzeigen zu lassen. Passwort und Nutzernamen müssen dabei so übergeben werden, dass der Nutzer das nicht sieht. PHP hat ja eine Funktion on Board, die FTP ermöglicht.

Die PHP Seite nimmt dann aus der Datenbank den Link, verifiziert sich im Verzeichnis und gibt die Datei an den Browser aus.

Klar, bestimmt ein heiden Programmieraufwand. Wenn man den umgehen will, sollte man sich Joomla mit DocMan ansehen. Da kann man das gleiche, schon vorgefertigt, erledigen.

Der Wellenbrecher.