Praca so subormi

scrysurn · Napísal **scrysurn**: 08.02.2010 20:00

Tvorim skript, v ktorom administrator moze pridavat subory ktore mozu stiahnut registrovani uzivatelia. Kazdy uzivatel bude moct stiahnut iba niektory zo suborov, iny uzivatel iny zo suborov. Ako by som mal riesit ochranu toho, ze jeden uzivatel nemoze stiahnut iny subor nez aky je mu povoleny.

Napadla ma nahodne generovana cesta k suboru ktora by sa zobrazovala iba uzivatelovi s pravom na subor, a teda uzivatel, ktory na to pravo nema, by nemal odkaz ako sa k tomu suboru dostat... avsak to si vsak moze zistit (napr. od ineho uzivatela ktory ten odkaz ma).

Preto by som chcel vediet, ako na to, aby uzivatel ktory nie je prihlaseny respektive uzivatel ktory nema na dany subor pravo nestiahol subor zadanim jeho URL ktore mu posle uzivatel ktory k suboru pravo ma. V jazyku kodu by som potreboval ze skontroluje podla $_SESSION kto je prihlaseny a na zaklade toho mu bud zacne stahovat subor alebo vypise spravu o chybe.

Hadam som to dost zrozumitelne popisal.

Dakujem za rady.

Ďuri · Napísal **Ďuri**: 08.02.2010 20:58

Budes mat linky v tvare stiahni.php?subor=nazov-suboru.ext, tam to hocijako skontrolujes a potom ponuknes subor na stiahnutie, priklad mas tu: http://sk2.php.net/readfile

Tominator · Napísal **Tominator**: 09.02.2010 9:22

Samotnú bezpečnosť vyriešiš buď v DB, alebo samostatnom súbore, kde budeš mať informácie, ktorá skupina užívateľov, môže vidieť dané súbory. A potom to budeš len overovať ...

p360t · Napísal **p360t**: 09.02.2010 11:40

Ja sa pokúsim poradiť trochu komplexnejšie, lebo chalani hore to síce nemysleli zle, ale zdá sa mi, že by si ich nemusel úplne pochopiť.

Pri robení takéhoto systému musíš mať niekoľko častí - uloženie súborov, schému prístupov a potom nejaké to rozhranie na interakciu s užívateľom.

Uloženie súborov - predpokladám, že máš Linuxový server Apache. Tam toto uloženie spravíš veľmi jednoducho - buď budeš súbory ukladať do priečinka, ktorý je mimo webového priečinka (tj. web máš napr. v priečinku /home/scrysurn/public_html a tie súbory budeš ukladať do /home/scrysurn/subory ) alebo môžeš ukladať do webového podpriečinka, ale musíš ho ochrániť súborom .htaccess (tj. napr. súbory budeš ukladať do /home/scrysurn/public_html/subory a v tom priečinku bude súbor .htaccess v ktorom bude napísané

Kód:

deny from all

). Oba prístupy zabezpečia, že aj keby niekto vedel presný názov súboru na servri a napísal do prehliadača cestu k nemu, Apache mu ten súbor na stiahnutie nedá (to ti umožní napr. aj obmedziť počet stiahnutí súboru).

Schéma prístupov a rozhranie - to nechám na tebe; asi najlepšie sa to dá spraviť tak, že keď uploadneš súbor, tak na server sa uloží pod iným názvom (nejakým náhodne vygenerovaným, aby si sa vyhol problému s rovnakými názvami) a napr. do databázy sa zapíše aký bol pôvodný názov súboru a aký je názov uloženého súboru. Keď dostaneš požiadavku na nejaký súbor tak sa nejakou logikou rozhodneš, či ten užívateľ môže dostať želaný súbor (napr. cez ACL alebo nejakú inú autorizačnú schému) a ak áno, tak skriptom podobným tomuto vytiahneš súbor a pošleš ho užívateľovi:

Kód:

<?php
$user = $_SESSION['user'];
$file = osetri_vstup($_GET['file']);
$filename = zisti_nazov_suboru_na_servri($file);
if (!uzivatel_je_autorizovany($user, $file)) {
    die("Nemas pravo na pristup k tomuto suboru.");
}

if (file_exists($filename)) {
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename='.$file);
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    header('Content-Length: ' . filesize($filename));
    ob_clean();
    flush();
    readfile($filename);
    exit;
}
?>

Ešte sa to dá vylepšiť tak, že podľa typu súboru správne nastavíš hlavičku Content-Type (tá čo tam je teraz možno nebude správne fungovať napr. pri textových súboroch, treba vyskúšať).

scrysurn · Napísal autor témy **scrysurn**: 09.02.2010 14:02

Presne to som potreboval pocut, p360t - vdaka za komplexne vyriesenie, v casti Uloženie súboru je vsetko co som chcel

Vdaka readfile() uz chapem ako to vlastne urobit elegantne

povodne som chcel iba jednoduche presmerovanie na subor cim by uzivatel zistil tu URL a tym vznikal ten problem co som popisal na zaciatku.

To ostatne uz mam viacmenej premyslene a s ochranou cez .htacces to bude vsetko. Zatial dakujem za pomoc, dnes-zajtra to sprevadzkujem a ak by som este na nieco narazil tak napisem

Praca so subormi

Podobné témy