Proteger archivos usuarios registrados

Operadormail · #1 (**permalink**) 13/04/2007, 07:59

Hola

tengo un sistema de descargas de archivos, de forma que es obligatorio estar identificado para realizar la descarga.

Código:

$ref=$_GET["ref"];
$SQL="SELECT Archivo FROM tabla_archivos WHERE Referencia='$ref'";
$con=mysql_query($SQL) or die (mysql_error());
$referen=mysql_fetch_array($con);

$path = "privado/docs";
$archivo = $referen ["Archivo"];
$enlace = $path."/".$archivo;

header('Content-type: application/pdf');
header('Content-Disposition: attachment; filename="'.$enlace.'"');
header ("Content-Length: ".filesize($enlace));
header("Pragma: no-cache"); 
header("Expires: 0");  
readfile($enlace);

El problema es que cuando hago la descarga, el fichero tiene el nombre con la ruta completa, por lo que la protección no me sirve de mucho... ¿Como puedo evitar esto?

Gracias a todos

mauled · #2 (**permalink**) 13/04/2007, 09:07

Pues si es necesario estar registrado, levanta una sesion, y en la página en donde realizas la descarga, verificas que la sesion esta inicializada y ademas de si tiene los pérmisos adecuados.

Saludillos.

Operadormail · #3 (**permalink**) 13/04/2007, 09:15

No me explique bien.
La descarga y la validación de usuarios está correcta.
Lo que pasa es que al descargar el archivo, se baja renombrado con la ruta de acceso: archivos pdf nombredearchivo.pdf, ya que hago readfile($enlace); y $enlace en la concatenación del path y del nombre del archivo...

GatorV · #4 (**permalink**) 13/04/2007, 09:35

Pues solo cambia esta linea:

Código PHP:

  header('Content-Disposition: attachment; filename="'.$archivo.'"');

Operadormail · #5 (**permalink**) 17/04/2007, 12:32

Ya hombre, pero entonces no de puede descargar el fichero por que no encuentra la ruta (que es $path)

Alguna sugerencia o alternativa??

Operadormail · #6 (**permalink**) 18/07/2007, 00:21

Alguien tiene alguna alternativa??

Gracias

jerkan · #7 (**permalink**) 18/07/2007, 03:28

La opción que te puso GatorV no te sirve? Yo creo que debería funcionar perfectamente. En esta línea:

Código PHP:

  header('Content-Disposition: attachment; filename="'.$archivo.'"');

le estás diciendo al php qué nombre tiene que tener el archivo. No la url del mismo.

_ssx · #8 (**permalink**) 18/07/2007, 06:33

Creo que a lo que se refiere, es que cuando baja el archivo el gestor de la descarga le indica el path de donde fue bajado, y que de alguna manera el usuario puede dar esa URL a otra persona y asi podria descargarlo tambien saltandose el login.. yo creo que lo que necesitas es proteger la carpeta con y modificar algunos parametros del .htaccess.. para solo permitirle que invoque a los archivos por medio de otro script y no dela propia url

http://dev.cmsmadesimple.org/frs/sho...release_id=887