.htaccess Schutz

[DannyR]

Ich habe vor längerer Zeit ein Uploadskript in PHP geschrieben und benutzte es bis heute recht aktiv. Ich habe es optimiert und bin mit allem zufrieden. Die hochgeladenen Dateien sind mit einem Dateinamen wie /dateien/641a209644699baf9b8c2f9f768a030a.png, der sich beim downloaden aber wieder ändert. Auf der Seite werden nur "öffentliche" Dateien angezeit, also einen Downloadlink zu einer PHP-Datei. Die sollte die Dateien öffnen und sie als Downlaod dem Client anbieten.

Hier ist jetzt das Problem. Ich hatte das Verzeichnis /dateien mit .htaccess abgesichert und die Dateinen waren auch sicher. Leider konnte die PHP Datei dann auch nicht mehr auf die Dateien in dem Verzeichnis zugreifen. Jetzt möchte ich mich gerne daranwagen, das Skript wieder etwas sicherer zu machen. Könntet ihr mir vieleicht ein paar Tipps geben, wie ich direkte Zugriffe verhindere, aber Zugriffe von Dateien auf dem Server zulassen?

Vielen Dank für eure Hilfe im Voraus
Mit freundlichen Grüßen
Danny

 

[netbandit]

AW: .htaccess Schutz

Eigentlich sollte es auch über readfile gehen, schon versucht?

 

[DannyR]

AW: .htaccess Schutz

Ich habe die PHP Datei mit readfile und entsprechenden Header gemacht. Das Problem ist, dass das so alles klappt. Aber sobald ich das Verzeichnis mit .htaccess abgeriegelt hatte, hat der Download und der kompletter Zugriff nicht funktioniert. Darum geht es mir eigentlich...

 

[netbandit]

AW: .htaccess Schutz

Ist mir schon klar, liegt das Script auch in dem geschützten Verzeichnis?

 

[DannyR]

AW: .htaccess Schutz

Ich habe die alte .htaccess Datei nicht, aber ich meine, die PHP Datei lag nicht in dem geschützten Bereich. Wenn ich die PHP Datei auch in den geschützten Bereich stellen würde, könnte ich diese doch ebenfalls nicht aufrufen, oder?

drademacher.kilu.de/upload

Wenn du eine öffentliche Datei downloaden möchtest, soll das nur über die PHP Datei gehen. Nach meiner letzten Bearbeitung konnte man PHP Datei und Download Datei über den Browser erreichen. Aber der eigentliche Download Link sieht so aus: download.php?id=as32 und die Datei könnte man auch mit dateien/as32.jpg erreichen. Deswegen möchte ich, dass wenn man dateien/as32.jpg nicht das Bild erscheint, sonder sowas wie [Access denied].

Konntest du ungefähr verstehen, wo mein Problem liegt?

 

[CarnivalOfLight]

AW: .htaccess Schutz

Hast Du die Möglichkeit, die Dateien, die Du zum Download anbieten willst, außerhalb des Document-Root abzulegen? So habe ich es gelöst, das Script kann auf den Pfad zugreifen, über den Browser ist es nicht möglich. Funktioniert also ganz ohne .htaccess.

 

[DannyR]

AW: .htaccess Schutz

Ich habe nur ganz begrenzten Zugriff außerhalb des Document-Root. Möglicherweise reicht es für das, was ich brauche... Ich weiß es aber nicht mit Bestimmtheit!

Worum handelt es sich denn?

 

[CarnivalOfLight]

AW: .htaccess Schutz

Eine Beschreibung findest Du z.B. unter Dateidownload realisieren

Du solltest zumindest einen virtuellen Webserver bei Deinem Hoster gebucht haben (Kosten ab knapp 20 € pro Monat). Damit hast Du die Möglichkeit, Verzeichnisse anzulegen, die oberhalb des Document-Roots liegen und somit nicht über eine URL erreichbar sind. Im Script gibst Du dann den absoluten Pfad zu diesem Verzeichnis an.