Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[robertd]

Buna, as avea o intrebare :oops:
Pe scurt am niste fisiere pdf stocate intr-un dir www.site.ul.meu/date din site-ul meu. Si, am un script care alege anumite fisiere pdf in functie de utilizator apoi le creeaza un link catre ele www.site.ul.meu/date/user1.pdf.
Intrebare cum as putea securiza ca un user sa nu poate apela respectiv vedea doar fisierele la care dreptul? :roll:
Adica daca e logat ca si user1 sa nu poata accesa www.site.ul.meu/date/user2.pdf. Controlul userilor este facut prin mecanismul de Session.

[Pirahna]

$userid=$_SESSION['userid'];
if($userid!=$required_userid) echo "nu domne !";
else echo "pdf-ul tau";

waaaw :P
avansat :)

[kul]

www.site.ul.meu/date/user1-dsf334dsfasdaf.pdf

unde 'dsf334dsfasdaf' este o semnatura unica dupa un random md5 de aiurea inserata pe un camp separat la inregistrare in tabela de useri.

nu-i super-proof, dar poate iti ajunge.

[robertd]

Pirahna
Scriptul meu e conceput aprox in acceasi maniera in care ai prezentat-o tu :lol:
Problema e alta daca un utilizator obisnuit care vede calea exacta a fisierului sa nu poata accesa alt fisier pdf. Acesta nu trebuie sa fie neaparat logat ca sa il vada el pur si simplu isi scoate pdf-ul lui, vede calea apoi scrie www.site.ul.meu/date/un_alt_fisier.pdf si ar putea obtine date la care el nu este autorizat. Ce as dori eu e urmatorul lucru: userul sa isi poate lua fisierul lui fara sa stie de unde caci daca stie exact de unde poate accesa si alt fisier pdf. :?

[johnutz]

Pe baza ideii lui Piry si paginii de la header() din manual: Cod: $userid=$_SESSION['userid'];
if($userid!=$required_userid)  {
  header('HTTP/1.1 403 Forbidden');
  echo 'nu e voie, bah';
  exit();
} else {
  // We'll be outputting a PDF
  header('Content-type: application/pdf');

  // It will be called downloaded.pdf
  header('Content-Disposition: attachment; filename="downloaded.pdf"');

  // The PDF source is in original.pdf
  readfile('/cale/eventual/absoluta/catre/original.pdf');
}
Iar original.php sa se afle intr-un director din afara site-ului sau daca nu se poate, intr-un dir protejat cu .htaccess
Desigur, in ceea ce priveste $_SESSION['userid'] vezi tu cum te descurci..

[kul]

si daca fisierele au mai mult de 8 mega fiecare sau mai mult? (desi e foarte probabil sa nu aiba). si daca site-ul e un heavy-duty traffic si mai e si pus pe un shared server?

oricum metoda e foarte buna pt fisiere mici

[coditza]

Dupa cate stiu, readfile nu citeste tot si face output dintr-o data, ci, pe masura ce citeste inca o bucata din fisier ii face output.

Daca ma insel, atunci ramane si varianta:
an style="color: #000000"><?php ... $fp = fopen('filelalalalalala',"r"); while(!feof($fp)) {     echo fread($fp,1024); } fclose($fp); 

[robertd]

Buna,
Multumesc pt. sfaturi in special johnutz
Sa va prezint si rezolvarea problemei mele :P :idea: :
am facut 2 scripturi ce ruleaza astfel:

view.php
Cod:
<?php header("Expires: Thu, 17 May 2001 10:17:17 GMT");    // Date in the past
   header ("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); // always modified
   header ("Cache-Control: no-cache, must-revalidate");  // HTTP/1.1
   header ("Pragma: no-cache");                          // HTTP/1.0
   session_start();
   if (!isset($_SESSION['SESSION'])) {require("../include/session_init.php");}
   if ($_SESSION['LOGGEDIN'] != true) {
         header("Location: ../general/login_system.php");
         exit;
   }
.....

// downloadeaza fisierul xxx.pdf
<a href="download.php?filename=<? echo $files[$j];?>"><?php echo $luni[substr($files[$j],12,2)];?><?php echo " ".substr($files[$j],8,4);?></a>
....

iar fisierul download.php
Cod:
<php
$filename=$_REQUEST['filename'];
if (!isset($filename)) exit;
$filename="./date/".$filename;
header('Content-type: application/pdf');
header('Content-Disposition: attachment; filename='.$filename.'');
readfile($filename);
exit;
?>

iar ambele fisiere se afla cu un dir mai sus decat dir-ul in care se afla fisierele pdf...deci teoreticaly speaking el nu vede de unde le ia pt. ca eu pot sa le pun oriunde fisierele pdf...
Daca aveti o rezolvare, mai buna, mai profi, mai corecta...va rog sa mi-o prezentati. :roll:

[johnutz]

Ar fi totusi o problema.
Daca, de exemplu, se acceseaza download.php?filename=..%2Fdownload.php, $filename va avea valoarea ./date/../download.php, deci va fi trimis fisierul download.php.

A cateva variante:
- te asiguri ca $filename sa nu contina altceva decat caractere alfanumerice, punct si liniutza
- fiecarui fisier ii asociezi un ID, si apelezi download.php?ID=x; si verifici daca x e valid
- te asiguri ca va fi citit fisierul din directorul care vrei tu, cu realpath() si pathinfo()

Ah, si era sa uit. Trebuie sa pornesti si in download.php sesiunea si sa verifici daca e autentificat.

[robertd]

Citat:
Daca, de exemplu, se acceseaza download.php?filename=..%2Fdownload.php , $filename va avea valoarea ./date/../download.php , deci va fi trimis fisierul download.php.

Aici ai dreptate o sa restrictionez ca sa nu poate accesa fisiere php doar pdf.

Citat:
Ah, si era sa uit. Trebuie sa pornesti si in download.php sesiunea si sa verifici daca e autentificat.

Iar daca pun validarea si in dowload php imi da o eroare de genul headers cannot by modified, pt. ca am si acolo o instructiune header....
o sa mai testez :wink:
Ce ma gandesc eu sa fac in download.php e sa verific daca numele utilizatorului logat este acelasi cu o parte din numele fisierului pdf si doar atunci sa ii dea acces pe el.

[PHPRomania Bot]