Oui mais en fait, je ne veux pas de l'invite apache. Je préfère un formulaire php avec création de session derrière.

L'avantage de ma solution est justement de ne pas avoir cette fameuse fênetre.

Mais que pensez vous de la sécurité pour la solution énnoncée dans mon dernier message?

Pour l'index.php, en fait, c'est la configuration d'apache qui fait que par défaut, s'il ne trouve pas de page d'accueil ("welcome-file") à afficher, il liste le contenu du répertoire. Il suffit donc de mettre une page index.html ou .php pour qu'apache l'utilise et ne liste pas les documents :) (on peut ajouter ou modifier els noms des welcome-file dans la conf d'apache, mais le "index" est généralement toujours utilisé)

Sinon pour éviter le relogin de tes utilisateurs, tu peux aussi grace à php capturer le login utilisé lors de l'invite du htaccess. Tu peux ainsi le mettre en session et aller chercher les infos qui lui sont relatives pour que ton site fonctionne normalement, et remplacer ton authentification initiale par celle d'apache :)

Alors voià comment j'ai résolu mon problème :

J'ai créer un dossier avec mes fichiers à télécharger dans lequel j'ai mis un fichier htaccess avec le paramètre "deny from all". Donc accès impossible sauf via un code php exécuté depuis le serveur.

J'ai créer un fichier php protégé avec un session php qui lance depuis le serveur le téléchargement (voir:http://www.destrucsaweb.com/ressources/phpmyannu/goto_45.php)

Donc pour lancer le téléchargement, il faut impérativement avoir une session php d'ouverte. Et il est deplus impossible de lister le repertoire gràce à htaccess.

Que pensez vous de cette solution?

Re,

Pour l'https, ca semble difficile dans ton cas. C'est en général pour les sites commerciaux ou protéger un dossier via certificat. Je ne m'aventure pas trop dans ce domaine, car je ne suis pas un crack. Je sais juste qu'il faut pouvoir avoir la main complète sur son serveur.

Pour l'index.php, c'est une petite bidouille, qui marche fort bien. Je place dans tous mes dossiers un fichier index.php qui renvoie à ma page d'accueil du site. De ce fait, il est impossible de scanner mon répertoire comme on peut voir des fois sur les sites de free. Il doit certainement exister un moyen de contourner cette "sécurité". Je pense qu'un certain type de hacker pourra le dire ^^ mais j'y tiens pas trop lol. Sérieusement, ca marche bien et c'est simple à mettre en place. Il faut juste être un peu rigoureux. Si après tu as des noms spéciaux pour tes fichiers, tu renforces la sécurité. Ne pas faire par exemple des fichier1.pdf, fichier2.pdf d'où la soluce MD5 ;)

Pour l'histoire htaccess, quelques pistes ici :
[url]http://fr2.php.net/manual/fr/features.http-auth.php[/url]

[url]http://www.commentcamarche.net/faq/sujet-4795-php-recuperer-login-et-mot-de-passe-passes-par-un-htaccess[/url]

Tout autre commentaire est le bienvenu :D

Mega
:)

Merci pour ta réponse rapide.

[quote]-> page d'index.php (header location pour pas qu'on scanne le contenu de mon dossier) [/quote]
C'est à dire? Tu mets dans le repertoire une page index.php qui renvoi vers une autre page du site si on scanne le dossier. C'est cela?
[quote]-> htaccess[/quote]
Oui mais alors comment faire un lien entre les sessions et htaccess, pour que le visiteur ne rentre qu'une seule fois son indentifiant?
[quote]-> https[/quote]
Je ne suis pas sur que je puisse l'utiliser. Je suis hébergé chez OVH (60gp)

Bonjour,

Personnellement pour sécuriser mes données j'utilise ces "astuces" :

-> les sessions
-> page d'index.php (header location pour pas qu'on scanne le contenu de mon dossier)
-> htaccess
-> chmod (sans que ca bloque ton site, ex: upload)
-> des liens voir des noms de fichiers plus complexes par un système md5(rand()
-> https (si tu peux le mettre en place)

En espérant t'avoir apporter un plus...

Mega
:)

Ps : je suis preneur d'autres soluces ;)

Bonjour,

Voilà, je suis en train de faire un site sécurisé avec des sessions php. Donc je securise toutes mes pages php avec. Par contre, j'ai un repertoire où je dépose des fichiers à télécharger et que je souhaiterais securiser aussi. Je ne voudrais pas utiliser un fichier htaccess, car cela reviendrait à demander de nouveau un login et mot de passe lors d'un téléchargement. Sauf s'il est possible d'utiliser le login et le mot de passe stocké dans ma session php pour lancer le téléchargement du fichier contenu dans le repertoire protégé par htaccess. Et donc que le navigateur ne lance pas la fameuse fênetre où il demande les infos.

D'après vous peut on faire cela? Et si oui comment? Bien sur les identifiants seront les même (Session et htaccess).

Si vous avez d'autre solution pour protéger des pages via des sessions php tout en securisant le dossier de téléchargement, je suis prenneur.

Je vous remercie d'avance pour vos réponses