Bonjour,
Voilà, je suis en train de faire un site sécurisé avec des sessions php. Donc je securise toutes mes pages php avec. Par contre, j'ai un repertoire où je dépose des fichiers à télécharger et que je souhaiterais securiser aussi. Je ne voudrais pas utiliser un fichier htaccess, car cela reviendrait à demander de nouveau un login et mot de passe lors d'un téléchargement. Sauf s'il est possible d'utiliser le login et le mot de passe stocké dans ma session php pour lancer le téléchargement du fichier contenu dans le repertoire protégé par htaccess. Et donc que le navigateur ne lance pas la fameuse fênetre où il demande les infos.
D'après vous peut on faire cela? Et si oui comment? Bien sur les identifiants seront les même (Session et htaccess).
Si vous avez d'autre solution pour protéger des pages via des sessions php tout en securisant le dossier de téléchargement, je suis prenneur.
Je vous remercie d'avance pour vos réponses
la communauté d'entraide francophone dédiée au PHP
Session PHP et htaccess...
Bonjour,
Personnellement pour sécuriser mes données j'utilise ces "astuces" :
-> les sessions
-> page d'index.php (header location pour pas qu'on scanne le contenu de mon dossier)
-> htaccess
-> chmod (sans que ca bloque ton site, ex: upload)
-> des liens voir des noms de fichiers plus complexes par un système md5(rand()
-> https (si tu peux le mettre en place)
En espérant t'avoir apporter un plus...
Mega
Ps : je suis preneur d'autres soluces
Personnellement pour sécuriser mes données j'utilise ces "astuces" :
-> les sessions
-> page d'index.php (header location pour pas qu'on scanne le contenu de mon dossier)
-> htaccess
-> chmod (sans que ca bloque ton site, ex: upload)
-> des liens voir des noms de fichiers plus complexes par un système md5(rand()
-> https (si tu peux le mettre en place)
En espérant t'avoir apporter un plus...
Mega
Ps : je suis preneur d'autres soluces
BenNibbi
Invité n'ayant pas de compte PHPfrance
Merci pour ta réponse rapide.
C'est à dire? Tu mets dans le repertoire une page index.php qui renvoi vers une autre page du site si on scanne le dossier. C'est cela?-> page d'index.php (header location pour pas qu'on scanne le contenu de mon dossier)
Oui mais alors comment faire un lien entre les sessions et htaccess, pour que le visiteur ne rentre qu'une seule fois son indentifiant?-> htaccess
Je ne suis pas sur que je puisse l'utiliser. Je suis hébergé chez OVH (60gp)-> https
Re,
Pour l'https, ca semble difficile dans ton cas. C'est en général pour les sites commerciaux ou protéger un dossier via certificat. Je ne m'aventure pas trop dans ce domaine, car je ne suis pas un crack. Je sais juste qu'il faut pouvoir avoir la main complète sur son serveur.
Pour l'index.php, c'est une petite bidouille, qui marche fort bien. Je place dans tous mes dossiers un fichier index.php qui renvoie à ma page d'accueil du site. De ce fait, il est impossible de scanner mon répertoire comme on peut voir des fois sur les sites de free. Il doit certainement exister un moyen de contourner cette "sécurité". Je pense qu'un certain type de hacker pourra le dire ^^ mais j'y tiens pas trop lol. Sérieusement, ca marche bien et c'est simple à mettre en place. Il faut juste être un peu rigoureux. Si après tu as des noms spéciaux pour tes fichiers, tu renforces la sécurité. Ne pas faire par exemple des fichier1.pdf, fichier2.pdf d'où la soluce MD5
Pour l'histoire htaccess, quelques pistes ici :
http://fr2.php.net/manual/fr/features.http-auth.php
http://www.commentcamarche.net/faq/suje ... n-htaccess
Tout autre commentaire est le bienvenu
Mega
Pour l'https, ca semble difficile dans ton cas. C'est en général pour les sites commerciaux ou protéger un dossier via certificat. Je ne m'aventure pas trop dans ce domaine, car je ne suis pas un crack. Je sais juste qu'il faut pouvoir avoir la main complète sur son serveur.
Pour l'index.php, c'est une petite bidouille, qui marche fort bien. Je place dans tous mes dossiers un fichier index.php qui renvoie à ma page d'accueil du site. De ce fait, il est impossible de scanner mon répertoire comme on peut voir des fois sur les sites de free. Il doit certainement exister un moyen de contourner cette "sécurité". Je pense qu'un certain type de hacker pourra le dire ^^ mais j'y tiens pas trop lol. Sérieusement, ca marche bien et c'est simple à mettre en place. Il faut juste être un peu rigoureux. Si après tu as des noms spéciaux pour tes fichiers, tu renforces la sécurité. Ne pas faire par exemple des fichier1.pdf, fichier2.pdf d'où la soluce MD5
Pour l'histoire htaccess, quelques pistes ici :
http://fr2.php.net/manual/fr/features.http-auth.php
http://www.commentcamarche.net/faq/suje ... n-htaccess
Tout autre commentaire est le bienvenu
Mega
BenNibbi
Invité n'ayant pas de compte PHPfrance
Alors voià comment j'ai résolu mon problème :
J'ai créer un dossier avec mes fichiers à télécharger dans lequel j'ai mis un fichier htaccess avec le paramètre "deny from all". Donc accès impossible sauf via un code php exécuté depuis le serveur.
J'ai créer un fichier php protégé avec un session php qui lance depuis le serveur le téléchargement (voir:http://www.destrucsaweb.com/ressources/ ... oto_45.php)
Donc pour lancer le téléchargement, il faut impérativement avoir une session php d'ouverte. Et il est deplus impossible de lister le repertoire gràce à htaccess.
Que pensez vous de cette solution?
J'ai créer un dossier avec mes fichiers à télécharger dans lequel j'ai mis un fichier htaccess avec le paramètre "deny from all". Donc accès impossible sauf via un code php exécuté depuis le serveur.
J'ai créer un fichier php protégé avec un session php qui lance depuis le serveur le téléchargement (voir:http://www.destrucsaweb.com/ressources/ ... oto_45.php)
Donc pour lancer le téléchargement, il faut impérativement avoir une session php d'ouverte. Et il est deplus impossible de lister le repertoire gràce à htaccess.
Que pensez vous de cette solution?
Pour l'index.php, en fait, c'est la configuration d'apache qui fait que par défaut, s'il ne trouve pas de page d'accueil ("welcome-file") à afficher, il liste le contenu du répertoire. Il suffit donc de mettre une page index.html ou .php pour qu'apache l'utilise et ne liste pas les documents (on peut ajouter ou modifier els noms des welcome-file dans la conf d'apache, mais le "index" est généralement toujours utilisé)
Sinon pour éviter le relogin de tes utilisateurs, tu peux aussi grace à php capturer le login utilisé lors de l'invite du htaccess. Tu peux ainsi le mettre en session et aller chercher les infos qui lui sont relatives pour que ton site fonctionne normalement, et remplacer ton authentification initiale par celle d'apache
(on peut ajouter ou modifier els noms des welcome-file dans la conf d'apache, mais le "index" est généralement toujours utilisé)Sinon pour éviter le relogin de tes utilisateurs, tu peux aussi grace à php capturer le login utilisé lors de l'invite du htaccess. Tu peux ainsi le mettre en session et aller chercher les infos qui lui sont relatives pour que ton site fonctionne normalement, et remplacer ton authentification initiale par celle d'apache
Ce n'est pas en améliorant la bougie que l'on a inventé l'ampoule...
BenNibbi
Invité n'ayant pas de compte PHPfrance
Oui mais en fait, je ne veux pas de l'invite apache. Je préfère un formulaire php avec création de session derrière.
L'avantage de ma solution est justement de ne pas avoir cette fameuse fênetre.
Mais que pensez vous de la sécurité pour la solution énnoncée dans mon dernier message?
L'avantage de ma solution est justement de ne pas avoir cette fameuse fênetre.
Mais que pensez vous de la sécurité pour la solution énnoncée dans mon dernier message?