Mailinglisten-Archive |
Hallo, >>Folgendes Problem: >> >>Es gibt einen Internen-Bereich auf der Webseite welcher durch Login und >>Sessions geschützt ist. >>Nun kann der kann man über eine Adminoberfläche Dateien auf den Server laden >>welche nur in dem Internen Bereich downgeloadet werden dürfen. Wie kann ich >>nun diese Files schützten? > > > am besten du baust ein download-script, das erstmal die session checkt. > per url-param uebergibst du einfach den filenamen. > das file wird geoeffnet, entsprechende header ( content-type ) gesendet > und dann die daten direkt rausgeschoben. das hilft auch nicht weiter, weil der Apache die Dateien einfach ausliefert, wenn man die komplette URL kennt. Hier liegt das Problem. Wenn man sich nicht zweimal anmelden will, bleibt eigentlich nur noch die generelle HTTP-Authentifizierung. Ich habe das mal so gelöst, daß der ganze zu schützende Verzeichnisbaum per Apache passwortgeschützt ist. Die Login-Seite bestand aus einem Button, welcher auf die eigentliche Startseite im geschützten Bereich verwies und man auf diesem Wege authentifizieren mußte. Ist man auf der internen Startseite angekommen, wird die $HTTP_USER oder so ähnlich ausgelesen und in der Usertabelle nachgeschlagen, die UserID in der Session versenkt etc. Vielleicht hilft das ein wenig weiter! Ciao Alex
php::bar PHP Wiki - Listenarchive