Scoutnet vzw

Hallo,

Is het mogelijk om bepaalde mappen te beveiligen, zodanig dat bestanden (doc, pdf, jpg,...) uit die mappen enkel kunnen worden bekeken wanneer ze worden aangesproken vanuit één specifieke php-pagina? Ik dacht hier ooit ergens gelezen te hebben dat dat inderdaad kan met htaccess (maar dan zonder een afzonderlijk login-scherm). Ik gebruik namelijk sessions en een database om leidings- en admingedeelte af te schermen, maar het is de bedoeling dat bepaalde downloads enkel kunnen voor wie is ingelogd als leiding.

't Moet kunnen, maar hoe?

To

maak een group aan leiding en geef deze access tot de map die je wil. Als de leider is ingelogd zal hij geen ander log in scherm krijgen. Als je wil dat enkel leiding bepaalde documenten maps ziet kan je via een sessionvariable bijhouden dat hij een leider is en hier op testen bij het aanmaken van de links. Hoop dat dit het antwoord was wat je zocht

Misschien even verduidelijken, want jou oplossing is precies niet helemaal wat ik zoek:

Een bestand op http://url/map/bestand.doc mag niet toegankelijk zijn voor wie surft naar http://url/map/bestand.doc (door bijvoorbeeld deze url in te typen in de adresbalk), maar wel voor wie de link http://url/map/bestand.doc aanklikt vanop een beveiligde leidingspagina. Die beveiliging maakt géén gebruik van .htacces, wel van een php-script met session die kijkt of jouw gebruikersnaam en wachtwoord in een database steken.

Ik geloof ergens gelezen te hebben dat je bestanden inderdaad kan blokeren, tenzij je ze probeert te bereiken van op een specifieke pagina. Als ik mij niet vergis, moest je daarvoor enkele regels toevoegen in een .htaccess. Wie weet hoe?

To

t Zal wel duidelijk zijn zeker? Ik gebruik dit zo en t werkt voor zover ik weet.

tot uw dienst,
Bart

Bedankt Bart. Toch nog een vraagje, want het werkt niet helemaal (voorlopige test op mijn localhost): de code die je gegeven hebt, moet in de .htaccess komen in de te beveiligen map? En de urls die je opgeeft, zijn de urls vanwaar men het document wél kan opvragen?

Als ik er dit van maak:

doet hij 't niet (error 500: "interne server error"), of ik het document nu probeer te bereiken vanop een beveiligde pagina of niet. Enig idee hoe dat komt?

Alvast bedankt!

To

ps: reply'en duurt lang omdat ik op kot enkel nog het forum kan lezen, niet meer schrijven ("invalid_session"-error in phpBB). 'k Moet dus altijd op school een pc'ke zoeken...

de code die je gegeven hebt, moet in de .htaccess komen in de te beveiligen map? En de urls die je opgeeft, zijn de urls vanwaar men het document wél kan opvragen?

>> Yep.

doet hij 't niet (error 500: "interne server error"), of ik het document nu probeer te bereiken vanop een beveiligde pagina of niet. Enig idee hoe dat komt?

>> Geen flauw idee. Ik ken daar ook niks van en heb die code gewoon uit een voorbeeldje van t net geplukt en dat werkt perfect bij mij.

Bart

nog even dit onderwerp ophoesten:

ik heb volgende .htaccess gemaakt ommijn pdf bestanden te beschermen:



Dit werkt goed (je kan de files niet downloaden vanaf een andere lokatie. Maar als ik de file wil downloaden vanaf bestanden.php krijg ik volgende (pdf ?) error: File does not begin with '%PDF-'
Als ik de .htaccess file weg doe kan je de files echter wel goed downloaden.

Iemand een idee ?
bedankt alvast...

Toch even vermelden dat deze methode niet veilig is, de variable "referrer" wordt namelijk opgegeven door de browser. Iemand met een beetje kennis van het HTTP-protocol kan dus (via telnet op poort 80 bv.) je 'beveiligde' bestanden opvragen.
Sommige browsers geven ook niets op voor 'referrer' en dan zal je dus niet aan je bestanden kunnen.

Iets wat mss wel kan werken is een php (of cgi) scriptje maken (mss met als extensie .doc) en dan daarin iets als dit stoppen:


Hoe je dit allemaal exact moet doen moet je zelf maar eens opzoeken :) Heb dit ook nog nooit gedaan.