Forum d'entraide PHPFrance

Bonjour,

Connaissez vous un moyen en php pour bloquer l'accès "sauvage" à des fichiers en téléchargement (pdf,video,audio)

En bref, éviter que certaine personne arrive à télécharge en douce des fichiers destiné à la vente stockés sur un site web

Merci

Prorection par un fichier .htacces ?

Salut,

Via un espace membre peut-être
Ou un system de code

Il faut, dans un premier temps, trouver un moyen pour imposer le passage par ton script de téléchargement pour télécharger un fichier.
La solution la plus simple: cacher le chemin réel de tes fichiers grâce aux headers de ton script de téléchargement et l'utilisation d'une url avec $_GET (exemple: ?id=ton_fichier).
En général, chaque id pointe vers une seule fonction switch qui switch donc vers le fichier correspondant à l'id.

Ensuite si tu veux rendre ton script privé, il faut comme dit Dunbar utiliser par exemple une authentification par mot de passe pour autoriser le téléchargement via ton script...

[quote="Dr@ke"][/quote]

Oui mais utiliser des Get c'est donner des informations à des pirates.
C'est dangereux surtout pour l'upload de données d'utiliser des valeurs GET d'après ce que j'ai lu dans
certains bouquins.

Sinon tu peux crypter les données qu'il ya dans ton GET
C'est ce que je fais pour un site

C'est dangereux surtout pour l'upload de données d'utiliser des valeurs GET d'après ce que j'ai lu dans
certains bouquins.

Mauvais bouquins... ou mauvaise lecture, ou les deux ?

Tordons le cou à ce préjugé : Les valeurs GET sont pas plus dangereuses que les valeurs POST ou même les cookies, elles sont juste plus évidentes à manipuler pour un éventuel pirate du dimanche. Mais ne t'en fais pas, un attaquant compétent et motivé n'aura aucun problème à utiliser POST ou autres.

Par contre, dans le cas de la soumission d'un formulaire et dans ce cas seulement, la méthode GET est limitée en taille d'infos transmises à 4ko, ce qui diminue grandement son intérêt dans ce contexte.

----------------------------------------------
Pour revenir au sujet :

Un système d'identification avant téléchargement me paraît être la meilleure solution (en plus ça te permet de "tagguer" individuellement les fichiers envoyés, comme ça si jamais tu en retrouves une copie un jour sur p2p ou autres tu pourras savoir de quel compte client indélicat elle provient).

Oui mais utiliser des Get c'est donner des informations à des pirates.
C'est dangereux surtout pour l'upload de données d'utiliser des valeurs GET d'après ce que j'ai lu dans
certains bouquins.

Oula, ne dis pas des choses pareilles, tu vas faire peur à tous le monde
$_GET ne représente aucun dangé, je pense que tu confonds, peut-être, avec une ancienne faille d'inclusion de fichiers...
Ensuite comme tous scripts, il faut prendre des précautions, mais ce n'est pas le $_GET qui pose problème mais plutôt le code en général du script.

Salut,

Un système d'identification avant téléchargement me paraît être la meilleure solution (en plus ça te permet de "tagguer" individuellement les fichiers envoyés, comme ça si jamais tu en retrouves une copie un jour sur p2p ou autres tu pourras savoir de quel compte client indélicat elle provient).

+1

Prorection par un fichier .htacces ?

+1

Allier les 2 techniques est le mieux qu'on puisse faire... En plus ca permet d'imaginer des stats etc.

@+ bon code

J'oubliais de préciser dans mon Post, pour l'authentification
Ce lien peut t'aiguiller:
http://www.securiteinfo.com/conseils/htaccess.shtml

Personnellement je ne conseil pas l'utilisation seule de .htaccess pour l'authentification.
De plus on a la chance, que Php et Sql peuvent faire une bonne part du travail désiré.
Cela permet d'éviter d'avoir des fichiers passwords de 10 mètres de longs ou d'être obligé de trouver d'autres alternatives plus complexes ensuite...

C'est pour cette raison que je préconise, l'utilisation d'un script de téléchargement en php.
Une zone membre en php typique et donc utilisant une Bd SQL.
Il devient simple de faire des stats .
On oblige ainsi le passage par le script de téléchargement, évitant ainsi quelques refus d'accès non expliqués...
En addition, l'utilisation d'un fichier .htaccess ...