sichere Dokumentenablage ?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • sichere Dokumentenablage ?

    Hallo Leute,

    ich suche einen Denkanstoss für eine sichere Dokumentenablage, von der aus die verschiendenen Nutzer zugreifen können und auch nur an Ihre Dateien herankommen.

    Dabei soll das ganze in einem geschützen Bereich ablaufen, d.h. es soll keiner durch herumprobieren von außen an die Dateien herankommen.

    Ich habe aber keine Ahnung/Idee wie ich das Sichern der Dateien bewerkstellige, da ich ohne .htaccess für verschiedene Ordner arbeiten will.

    Hintergrund: Es soll Masterbenutzer geben die auf alle Dateien Zugriff haben sollen, ohne das ich das .htaccess-Passwort in der URL mitschicke.

    Diese Ablage soll auf "normalen" Hostingangeboten laufen, also ohne Zugriff auf das mod_rewrite-Modul vom Apache.

    Ich hoffe es hat jemand eine Idee.
    Falko

  • #2
    also ganz ohne htaccess wirst du nciht auskommen, wenn dein hoster keinen bereich hat, der vom web aussen vor bleiben kann.

    also legst du alle dateien in einen order, der mit htpasswd geschützt ist.

    jetzt hast du erst einmal alle dateien dort, wo keiner dran kommen kann.

    nun nimmst du eine DB-tabelle , in der die dateien mit namen abgelegt sind.

    als weiteres kommt ein kleines usermanagement zum zuge, damit du weisst, welcher user eingeloggt ist. die user musst du mit ihren dateien in der db verbinden.

    wenn du ein user einen download machen will, kannst du das mit einer hilfsdatei machen. dieser datei übergibst du die id der datei aus der DB. ausserdem musst du in der hilfsdatei prüfen, ob der user ein recht auf diese datei besitzt. wenn ja, kannst du diese datei mit readfile() ausgeben.

    so. das war mal mein denkanstoss...
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar


    • #3
      wenn du die dateien einfach oberhalb des webroots ablegst, brauchst du kein .htaccess

      in der tabelle speicherst du, welchem benutzer aus der user-tabelle das bild gehört (evtl. welche gruppe zugriff haben soll) und fertig is
      Ich denke, also bin ich. - Einige sind trotzdem...

      Kommentar


      • #4
        Noch eine kleine Frage dazu...

        Ich danke Euch erstmal.

        Oberhalb des Webroot legen ist nicht schlecht, ich muss nur mal nachschauen ob ich da überhaupt hinkomme.
        Ich glaube nämlich ich habe nur auf das Webroot selbst Zugriff.

        Ein Frage noch zu der .htaccess-Variante:
        Muss ich dann beim Aufruf dieser Datei über das Hilfsprogramm das .htaccess-Passwort mit übergeben und wird das dann nicht mehr angezeigt?
        Oder umgeht das readfile dann diesen Schutz, weil es auf der selben Rechteebene wie der Schutz liegt?

        Falko

        Kommentar


        • #5
          Re: Noch eine kleine Frage dazu...

          Original geschrieben von iceman
          Oberhalb des Webroot legen ist nicht schlecht, ich muss nur mal nachschauen ob ich da überhaupt hinkomme.
          Ich glaube nämlich ich habe nur auf das Webroot selbst Zugriff.
          @happy
          genau das habe ich nämlich befürchtet. die meisten hoster bieten i.d.r. keinen zugriff auf verzeichnisse oberhalb des webroots.

          Original geschrieben von iceman
          Ein Frage noch zu der .htaccess-Variante:
          Muss ich dann beim Aufruf dieser Datei über das Hilfsprogramm das .htaccess-Passwort mit übergeben und wird das dann nicht mehr angezeigt?
          Oder umgeht das readfile dann diesen Schutz, weil es auf der selben Rechteebene wie der Schutz liegt?
          das htaccess wird nur vom browser benötigt. also bei webzugriffen.
          da du mit readfile() im lokalen verzeichnisbaum arbeitest, ist das kein hindernis für dich.
          INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


          Kommentar


          • #6
            ein workaround (wenn du nicht oberhalb deines verzeichnisses speichern darfst), könnte dir vielleicht auch nützlich sein...

            wenn der download so aussieht:

            /downloads/d4b5b3d9f62365ffa389081949c89156/filename.zip

            wobei "d4b5b3d9f62365ffa389081949c89156" die session des users ist! ist sie abgelaufen, geht der download nicht mehr

            gruss

            Kommentar


            • #7
              Vielen vielen Dank an alle...

              Jetzt hab ich genug Ansätze um so etwas zu testen und umzusetzen.
              Vielen Dank nochmal an alle.

              Falko

              Kommentar

              Lädt...
              X