Cada usuario accede solo a sus ficheros

juabongu · #1 (**permalink**) 16/11/2008, 05:50

Hola, mi problema es el siguiente

Tengo en mysql una bd con los usuarios/passwords y rutas privadas de cada uno para que se puedan descargar via web archivos con información confidencial. El problema es que no se como proteger cada ruta para que sólo el usuario que ha abierto la sesión pueda descargarselo. A través del formulario en php consigo que se logeen y puedo direccionar a cada uno a su directorio automaticamente; pero si abro otro navegador y pongo la dirección entera donde está el fichero, lo descarga!!

Necesitaria saber como proteger los ficheros para que sólo el user autenticado en
el php pueda descargarlo.

Muchas gracias de ante mano.

Keysher · #2 (**permalink**) 16/11/2008, 09:56

Puedes configurar el servidor web para que no se puedan acceder a tus ficheros directamente con la URL (protección contra hotlinks)

Puedes configurar el servidor web para que cada vez que intenten acceder a un fichero de una determinada ruta se les redireccione a un determinado PHP donde comprobarías el usuario y luego "servirías" el fichero.

Puedes tener esos ficheros en una ruta inaccesible desde fuera y "servirlos" desde un php donde comprobarás el archivo pedido y el usuario logueado.

Habrá más formas e incluso mejores... pero son las que se me ocurren ahora.

netserver · #3 (**permalink**) 16/11/2008, 11:45

umm si se descargan archivos usar HOTLINK no estaria mal aunque tambien podrias usar readfile(), lo usan muchas veces para hacer descargas con php y ya que es un php se puede establecer en las cabeceras la condicion si el user ha iniciado session o no.

Busca en el buscador del foro DESCARGAR archivo con php hay mucha info. ;)

nfo · #4 (**permalink**) 16/11/2008, 13:03

compañero eso mismo buscaba yo hace unas semanas lee mi post

post

juabongu · #5 (**permalink**) 16/11/2008, 16:15

En primer lugar, muchas grácias por responder ten rápido.

Me parece muy buena idea eso de proteger el servidor contra hotlinks, y utilizar la funcion readfile(). Lo que se me ha ocurrido es no publicar los directorios directamente para que no se tenga acceso, sino que montar usa la funcion readfile y montar los argumentos con los campos de mi BD y de un formulario de selección en el propio php, ya que los ficheros siempre tienen la misma estructura.

Por ejemplo el usuario "pepe" tiene en c:\usuarios\pepe\ dos archivos privados "nomina-pepe-julio2008" y "certificado-pepe-agosto2008". Si yo no publico la carpeta, nadie podrá acceder a ella aunque sepa la ruta, y utilizando la función readfile, cuando éste usuario se logee puedo montar el argumento del nombre del archivo combinando el formulario php donde pregunto si se quiere la nomina o el certificado, el mes y el año ,con ésto y las variables de sesión me monto el nombre del fichero y como la ruta la tengo como campo de la bd, pienso que podría funcionar.

Esta semana lo prubo a ver que pasa y os comento. Mil gracias.

nfo · #6 (**permalink**) 17/11/2008, 03:56

y como harias todo eso ?.... si me dejas el codigo te lo agradeceria compañero.