Dateizugriff sperren - Seite 2

rudygotya · 27.03.2009, 09:10

Falls du ht access verwenden kannst, schau dir mal den thread hier an.

Gruß

goelliboy · 27.03.2009, 09:27

Was ich noch nicht verstehe ist, dass du geschrieben hast, dass es ein eigener Server ist. Da müsstest du doch theoretisch Zugriff auf die Configs haben bzw. dir müsste es möglich sein htaccess zu aktivieren.

Und warum sollte der Vorschlag von Wolle nicht funktionieren?
Einfach die Dateien in einem Ordner schieben, der entweder ausserhalb des DocumentRoots liegt, per CHMOD nicht von aussen erreichbar ist oder du einfach den Ordner wie "afa8dfadf" benennst. Solange dann niemand weißt die der Ordner heisst, kann auch keiner direkt zugreifen.

Um dann den Usern die Datei zu verlinken rufst du mit dem von Wolle vorgeschlagenem Script:

PHP-Code:

  header('Content-Description: File Transfer');
            header("Content-Type: text/x-csv"); 
            header('Expires: 0');
            header("Content-Disposition: attachment; filename=$filename"); 
            header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
            header('Pragma: public');
            header('Content-Length: ' . filesize($filename));
            readfile($filename);

(Du müsstest es nur für deinen Dateityp anpassen.)

die gewünschte Datei auf. So weißt kein User, wie der direkte Pfad ist.

Chitino · 27.03.2009, 15:20

@ rudygotya:
Danke für Dein Vorschlag. Schaue mir diese Möglichkeit gerade einmal an.

@ goelliboy:
Zu meinem Webserver: Ich habe bei meinem Provider einen Managed-Webserver mit einer eigenen IP-Adresse gemietet. Dadurch habe ich leider die Einschränkung, daß ich z.B. Apache-Module, die nicht standardmäßig installiert sind (wie z.B. das Apache Modul mod_auth_mysql), auch nicht nachinstallieren kann und ich natürlich auch nicht die Apache Konfigurationsdatei anpassen kann. Ich könnte zwar mein Verzeichnis mit .htaccess schützen, aber dann müßten sich meine Benutzer zwei mal authentifizieren, weil die Möglichkeit wegfällt, .htaccess mit MySQL zu verknüpfen.

Zum Vorschlag von Wolla: Da der Server nur gemietet ist, komme ich, wie schon beschrieben, keine Ebene höher als der Document Root (in meinem Fall z.B. htdocs). Angenommen meine HP

Code:

www.test.de

habe ich im Verzeichnis "test" auf meinem Webserver abgelegt (also unter htdocs/test) und ich lege in diesem Order ein neues Verzeichnis an für meine Dateien (nehmen wir an, der neue Ordner heißt "files"), dann könnte ein direkter Zugriff auf die Datei in diesem files-Ordner (z.B. text.txt) über folgenden link passieren:

Code:

www.test.de/files/text.txt

Wenn ich das files-Verzeichnis nun direkt unter htdocs lege, (also htdocs/files) wäre der Ordner zwar nicht mehr über meine Domain, aber immer noch über die IP-Adresse des Servers ansprechbar. Also z.B.

Code:

http://10.10.10.10/files/text.txt

Natürlich müßte dann der Zugreifer erst noch die IP-Adresse wissen, aber was hätte ich an Sicherheit dadurch gewonnen? Genauso, wenn der Ordner anstelle von "files" eben "daaiu34k9vl4" heißen würde. Die Sicherheit wäre genau gleich, nur der Pfad wäre anders...

Wolla · 27.03.2009, 15:55

Readfile funktioniert über das Dateisystems deiner Maschine. Ob in dem Ordner eine htaccess-Datei steht, interessiert da nicht. Du kannst also den Ordner zunageln (deny from all).

31.03.2009, 20:31

Zitat:

Zitat von Chitino

Der Link funktioniert und natürlich auch der direkte Zugriff. Dann Zugriffsrechte mittels CHMOD auf 0600 gesetzt. Danach konnte ich weder mit dem Link noch direkt auf die Textdatei zugreifen. Muß ich irgendwas am Link beachten?

Tschuldigt, bin spät dran

Die Verknüpfung funktioniert nur noch mit "Rechte Maustaste, speichern unter" wenn 0600 gesetzt ist. Direktes Ausführen der Verknüpfung oder direktes aufrufen der Datei ist nicht mehr möglich.

Ergo kannst Du die Datei nur von einer Seite laden, auf der Du auch die Berechtigung besitzt.

Helmut

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
txt datei beim schreiben sperren	Quest15041983	PHP Tipps 2008	2	16.02.2008 21:09
Bilder vor externen Zugriff sperren?	BartTheDevil89	PHP Tipps 2007	5	14.01.2007 15:25
copy & paste sperren?	bifi5590	HTML, Usability und Barrierefreiheit	17	02.10.2006 14:05
Mitglied sperren, bannen ...	imported_Ben	Off-Topic Diskussionen	2	10.09.2006 15:16
.htaccess // alles sperren außer einem Ordner	JEGO	PHP Tipps 2006	6	21.02.2006 19:23
Eingabefeld sperren, wenn Wert eingegeben wird	Mike55	HTML, Usability und Barrierefreiheit	3	17.01.2006 19:24
bestimmtes verzeichnis immer sperren	mAy^daY	Server, Hosting und Workstations	3	03.01.2006 12:46
Variable sperren?	Anotherone	PHP Tipps 2007	4	01.12.2005 21:33
input box gegen schutz der veränderung sperren		HTML, Usability und Barrierefreiheit	8	08.09.2005 21:14
Dateizugriff sperren, wenn Aktion in gang	tekknotrip	PHP Tipps 2005-2	1	06.09.2005 17:33
Zugriff auf einen Datensatz sperren ???	sharky	PHP Tipps 2005	1	16.04.2005 00:14
[Erledigt] Datensätze sperren in PHP?		Datenbanken	5	22.02.2005 19:22
Datei sperren		PHP Tipps 2004-2	9	15.12.2004 14:29
Email adressen sperren		PHP Tipps 2004-2	18	19.11.2004 09:55
[Erledigt] Sperren von Tabellen		Datenbanken	3	29.10.2004 19:49

27.03.2009, 09:10
rudygotya Erfahrener Benutzer Registriert seit: 28.05.2008 Beiträge: 2.094 PHP-Kenntnisse: Fortgeschritten	Falls du ht access verwenden kannst, schau dir mal den thread hier an. Gruß


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.03.2009, 09:27
goelliboy Erfahrener Benutzer Registriert seit: 05.02.2004 Beiträge: 166	Was ich noch nicht verstehe ist, dass du geschrieben hast, dass es ein eigener Server ist. Da müsstest du doch theoretisch Zugriff auf die Configs haben bzw. dir müsste es möglich sein htaccess zu aktivieren. Und warum sollte der Vorschlag von Wolle nicht funktionieren? Einfach die Dateien in einem Ordner schieben, der entweder ausserhalb des DocumentRoots liegt, per CHMOD nicht von aussen erreichbar ist oder du einfach den Ordner wie "afa8dfadf" benennst. Solange dann niemand weißt die der Ordner heisst, kann auch keiner direkt zugreifen. Um dann den Usern die Datei zu verlinken rufst du mit dem von Wolle vorgeschlagenem Script: PHP-Code: header('Content-Description: File Transfer'); header("Content-Type: text/x-csv"); header('Expires: 0'); header("Content-Disposition: attachment; filename=$filename"); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Pragma: public'); header('Content-Length: ' . filesize($filename)); readfile($filename); (Du müsstest es nur für deinen Dateityp anpassen.) die gewünschte Datei auf. So weißt kein User, wie der direkte Pfad ist.

27.03.2009, 15:20
Chitino Neuer Benutzer Registriert seit: 16.02.2009 Beiträge: 11	@ rudygotya: Danke für Dein Vorschlag. Schaue mir diese Möglichkeit gerade einmal an. @ goelliboy: Zu meinem Webserver: Ich habe bei meinem Provider einen Managed-Webserver mit einer eigenen IP-Adresse gemietet. Dadurch habe ich leider die Einschränkung, daß ich z.B. Apache-Module, die nicht standardmäßig installiert sind (wie z.B. das Apache Modul mod_auth_mysql), auch nicht nachinstallieren kann und ich natürlich auch nicht die Apache Konfigurationsdatei anpassen kann. Ich könnte zwar mein Verzeichnis mit .htaccess schützen, aber dann müßten sich meine Benutzer zwei mal authentifizieren, weil die Möglichkeit wegfällt, .htaccess mit MySQL zu verknüpfen. Zum Vorschlag von Wolla: Da der Server nur gemietet ist, komme ich, wie schon beschrieben, keine Ebene höher als der Document Root (in meinem Fall z.B. htdocs). Angenommen meine HP Code: www.test.de habe ich im Verzeichnis "test" auf meinem Webserver abgelegt (also unter htdocs/test) und ich lege in diesem Order ein neues Verzeichnis an für meine Dateien (nehmen wir an, der neue Ordner heißt "files"), dann könnte ein direkter Zugriff auf die Datei in diesem files-Ordner (z.B. text.txt) über folgenden link passieren: Code: www.test.de/files/text.txt Wenn ich das files-Verzeichnis nun direkt unter htdocs lege, (also htdocs/files) wäre der Ordner zwar nicht mehr über meine Domain, aber immer noch über die IP-Adresse des Servers ansprechbar. Also z.B. Code: http://10.10.10.10/files/text.txt Natürlich müßte dann der Zugreifer erst noch die IP-Adresse wissen, aber was hätte ich an Sicherheit dadurch gewonnen? Genauso, wenn der Ordner anstelle von "files" eben "daaiu34k9vl4" heißen würde. Die Sicherheit wäre genau gleich, nur der Pfad wäre anders...

27.03.2009, 15:55
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Readfile funktioniert über das Dateisystems deiner Maschine. Ob in dem Ordner eine htaccess-Datei steht, interessiert da nicht. Du kannst also den Ordner zunageln (deny from all).