Dateien vor Framdzugriff schützen

GrU3nL!nG · 02.02.2007, 14:27

Hi,

in meinem internen Bereich habe ich ein Upload Modul gebastelt, so dass User Dateien hochladen können.
Sind diese User eingeloggt, dann bekommen sie die Dateien, die zur verfügungstehen angezeigt, wenn diese nicht eingeloggt sind, dann bekommen sie diese nicht zu sehen.

Wenn ich nun jedoch den pfad kenne zu dieser datei, habe ich außerhalb der "Seite" Zugriff auf die Datei, sprich ich kenne den vollständigen Pfad:
Bsp.: www.blubbblubb.de/uploads/test.jpg

So wie kann ich test.jpg nun so schützen, dass der download, bzw. das Anschauen nur via internem Modul funktioniert??

Hoffe ich habe mich klar ausgedrückt, bei Rückfragen einfach posten.

Gruß Marc

Zergling-new · 02.02.2007, 14:37

Du kannst dir eine download.php basteln, der du IDs übergibst. Diese prüfst du mit dem aktuellen User aus der Session gegen um festzustellen, ob Berechtigung besteht, die Datei downzuloaden.

Wenn ja sendest du einen header() [bitte auf http://de.php.net/header nachlesen] und liest den Datei-Inhalt einfach per readfile() aus. Dieser Funktion kannst du den richtigen Pfad der Datei übergeben.

Somit bleiben die Pfade verborgen und die Dateien können nur über die download.php heruntergeladen werden.

phpdummi · 02.02.2007, 14:47

Zitat:

Zitat von Zergling

Wenn ja sendest du einen header() [bitte auf http://de.php.net/header nachlesen] und liest den Datei-Inhalt einfach per readfile() aus. Dieser Funktion kannst du den richtigen Pfad der Datei übergeben.

bei mir liefert readfile die größe des bildes zurück

Zergling-new · 02.02.2007, 14:53

Ja, der Rückgabewert der Funktion ist die Dateigröße in Bytes, aber zusätzlich wird der Dateiinhalt noch in den Ausgabepuffer geschrieben (sprich standardmäßig an den Browser geschickt), was auch die Hauptaufgabe der Funktion ist.

Wenn du die Dateigröße ermitteln willst, solltest du filesize() benutzen

Beispiel:

// my.php

PHP-Code:

  <?php

header('Content-type: image/jpeg');

readfile('my.jpg');

?>

Beim Aufruf der my.php wird also ein Bild (my.jpg) und kein HTML ausgegeben.

phpdummi · 02.02.2007, 15:14

und schon hat er eine antwort auf seine frage

//Edit: aber ich hatte es echt nicht verstanden ^^ danke

GrU3nL!nG · 03.02.2007, 11:59

Hi ihr beiden,

diese Art exisatiert ja schon, wie ich es intern möglich mache die Datei herunterzuladen!

Meine frage war, wie ich die Datei selber schützen kann!
Weill wenn ich jetzt auf: www.blaHomepageblka.de/bilder/test.jpg
gehen würde, dann kann ich mir das Bild ja auch OHNE anmeldung anschauen

Flor1an · 03.02.2007, 12:12

Am besten legst du die Dateien in einem Ordner auserhalb des Webordners an. Also das vom Internet aus garnicht drauf zugegriffen werden kann.

Ansonsten per .htaccess kannst du den Zugriff auch sperren.

Ticos · 03.02.2007, 13:40

Schau Dir auch mal den Thread dazu an: http://www.phpfriend.de/forum/ftopic60801.html

phpdummi · 05.02.2007, 13:06

erstmal: was genau möchtest du denn tun?
sollen die bilder nicht downloadbar sein oder möchtest du einfach nicht das sie z.b. von mir per image-tag eingebunden werden können?

... außerhalb des webordners *bei meinem provider guck* *domain umstell* so! ^^

oder so: wenn du ein script hast was die bilder "generiert" dann sieht der link der auf die datei zeigt ja nur noch so aus: [img]pics/pic.php?pic_id=32&thumb=0[/img] dieses script kann dann ja überprüfen (per session z.b.) ob der request von deiner seite kommt. wenn ja zeigt er das bild an, wenn nein dann halt nicht.
besonders bei bildern kann man sich sowieso nicht gegen (klauen) schützen, du kannst ledeglich eine art wasserzeichen einbetten ... gegen screen shots sind wir nunmal machtlos :wink:

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP Dateien verschlüsseln	GSJLink	PHP-Fortgeschrittene	2	26.04.2008 12:29
[Logik] Mehrere Dateien als Anhang per Formular versenden	PsychoEagle	PHP Tipps 2008	2	27.08.2007 08:58
Dateien Zippen und direkt downloaden	kiffy	PHP Tipps 2006	0	18.04.2006 14:20
nur bestimmte Dateien aus einem Verzeichnis auslesen	Madden	PHP Tipps 2006	2	07.03.2006 17:10
Verzeichnis (Dateien) schützen aber per PHP zugriff zulassen		Server, Hosting und Workstations	2	16.10.2005 10:13
Dateien löschen (mit "unlink")		PHP Tipps 2005-2	8	09.06.2005 22:55
[Erledigt] Nur bestimmte Dateien anzeigen, wie mache ich das HILFE		PHP Tipps 2005	4	02.04.2005 22:38
Dateien erstellen oder schreiben funktioniert nicht im Web		PHP Tipps 2004-2	1	05.12.2004 19:39
[Erledigt] Ungenutzte Dateien		PHP-Fortgeschrittene	3	25.11.2004 16:07
dateien zugänglich machen		PHP Tipps 2004	8	22.10.2004 14:25
Mit PHP erzeugte Dateien besitzen die falschen Rechte		PHP Tipps 2004	3	14.09.2004 12:54
[Erledigt] PHP Dateien auf Server einsehen - Verschlüsseln		PHP Tipps 2004	6	12.09.2004 10:17
[Erledigt] Dateien aus Verzeichnissen vom Webserver auslesen und linken		PHP Tipps 2004	3	08.09.2004 10:07
fopen bei *.htm dateien??		PHP Tipps 2004	3	23.08.2004 19:50
[Erledigt] Dateien können nicht erzeugt werden		PHP-Fortgeschrittene	10	03.06.2004 16:21

02.02.2007, 14:27
GrU3nL!nG Erfahrener Benutzer Registriert seit: 14.02.2005 Beiträge: 790	Dateien vor Framdzugriff schützen Hi, in meinem internen Bereich habe ich ein Upload Modul gebastelt, so dass User Dateien hochladen können. Sind diese User eingeloggt, dann bekommen sie die Dateien, die zur verfügungstehen angezeigt, wenn diese nicht eingeloggt sind, dann bekommen sie diese nicht zu sehen. Wenn ich nun jedoch den pfad kenne zu dieser datei, habe ich außerhalb der "Seite" Zugriff auf die Datei, sprich ich kenne den vollständigen Pfad: Bsp.: www.blubbblubb.de/uploads/test.jpg So wie kann ich test.jpg nun so schützen, dass der download, bzw. das Anschauen nur via internem Modul funktioniert?? Hoffe ich habe mich klar ausgedrückt, bei Rückfragen einfach posten. Gruß Marc __________________ Gruß Marc


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

02.02.2007, 14:37
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Du kannst dir eine download.php basteln, der du IDs übergibst. Diese prüfst du mit dem aktuellen User aus der Session gegen um festzustellen, ob Berechtigung besteht, die Datei downzuloaden. Wenn ja sendest du einen header() [bitte auf http://de.php.net/header nachlesen] und liest den Datei-Inhalt einfach per readfile() aus. Dieser Funktion kannst du den richtigen Pfad der Datei übergeben. Somit bleiben die Pfade verborgen und die Dateien können nur über die download.php heruntergeladen werden.

02.02.2007, 14:53
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Ja, der Rückgabewert der Funktion ist die Dateigröße in Bytes, aber zusätzlich wird der Dateiinhalt noch in den Ausgabepuffer geschrieben (sprich standardmäßig an den Browser geschickt), was auch die Hauptaufgabe der Funktion ist. Wenn du die Dateigröße ermitteln willst, solltest du filesize() benutzen Beispiel: // my.php PHP-Code: `<?php header('Content-type: image/jpeg'); readfile('my.jpg'); ?>` Beim Aufruf der my.php wird also ein Bild (my.jpg) und kein HTML ausgegeben.

02.02.2007, 15:14
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	und schon hat er eine antwort auf seine frage //Edit: aber ich hatte es echt nicht verstanden ^^ danke __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

03.02.2007, 11:59
GrU3nL!nG Erfahrener Benutzer Registriert seit: 14.02.2005 Beiträge: 790	Hi ihr beiden, diese Art exisatiert ja schon, wie ich es intern möglich mache die Datei herunterzuladen! Meine frage war, wie ich die Datei selber schützen kann! Weill wenn ich jetzt auf: www.blaHomepageblka.de/bilder/test.jpg gehen würde, dann kann ich mir das Bild ja auch OHNE anmeldung anschauen __________________ Gruß Marc

03.02.2007, 12:12
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Am besten legst du die Dateien in einem Ordner auserhalb des Webordners an. Also das vom Internet aus garnicht drauf zugegriffen werden kann. Ansonsten per .htaccess kannst du den Zugriff auch sperren.

03.02.2007, 13:40
Ticos Neuer Benutzer Registriert seit: 07.09.2006 Beiträge: 24	Schau Dir auch mal den Thread dazu an: http://www.phpfriend.de/forum/ftopic60801.html

05.02.2007, 13:06
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	erstmal: was genau möchtest du denn tun? sollen die bilder nicht downloadbar sein oder möchtest du einfach nicht das sie z.b. von mir per image-tag eingebunden werden können? ... außerhalb des webordners bei meinem provider guck domain umstell so! ^^ oder so: wenn du ein script hast was die bilder "generiert" dann sieht der link der auf die datei zeigt ja nur noch so aus: [img]pics/pic.php?pic_id=32&thumb=0[/img] dieses script kann dann ja überprüfen (per session z.b.) ob der request von deiner seite kommt. wenn ja zeigt er das bild an, wenn nein dann halt nicht. besonders bei bildern kann man sich sowieso nicht gegen (klauen) schützen, du kannst ledeglich eine art wasserzeichen einbetten ... gegen screen shots sind wir nunmal machtlos :wink: __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things