[Xean]

Hi,
Ich würde gerne wissen, ob es möglich ist, herrauszufinden, auf welche datei ein User zugreift, und ob man dies mit einem PHP-Programm dies zulassen oder untertrücken kann.

Mein Problem ist, dass mein Server das nicht automatisch kann, aber ich möchte, dass ich, wenn ich es brauche auf alle dateien zugreifen kann.

Hat jemand von euch eine Idee?

Danke schon ein mal
Xean

[Byrel]

Sofern die User keinen Benutzeraccount auf deinem Webserver haben, kann man die Dateien natürlich mit PHP "schützen".

Es gibt da zum einen die Möglichkeit, dass alle Dateien in einem privaten Verzeichnis abgelegt werden d.h. man kann von außen nicht auf die Dateien zugreifen. Deshalb müsste dein PHP Script diese auslesen und dann zum Download anbieten.

Du kannst die Dateien aber auch in einem öffentlichen Verzeichnis ablegen und diese vom Webserver schützen lassen (z.B. bei Apache mit einem Eintrag in eine .htaccess oder httpd.conf).

Um zu wissen wer auf welche Datei zugreift, musst du halt sobald der User eine Datei anfordert was in eine Datenbank, Textdatei oder ähnliches schreiben.

Hat das deine Frage beantwortet oder brauchst du konkrete Infos zur Implementierung?

MfG Byrel

[Xean]

Es ist ein schritt in die richtige richtung, aber "konkretere Infos" wären echt gut

[robo47]

sowas wie z.b. hier nur erweitert:
http://us2.php.net/manual/en/function.fread.php#27016

das teil kann z.b. den downloadspeed noch drosseln, das kombiniert mit einem ordner wo die ganzen files drinliegen und ner .htaccess drin mit:

Code:

DENY FROM ALL

damit man anders nicht drankommt.

und dann musst du dir überlegen wie du den rest machst, in der datenbank usergruppen und die dateien anlegen und dann jeweils zuweisen wer was runterladen darf.

mfg
robo47

[Xean]

Bis jetzt hab ich noch nichts verstanden...
brauch ich .htaccess???

[Jann Hendrik]

es stellt eine Möglichkeit dar, wenn es sich nur um Verzeichnisse handelt!

Dazu folgendes beachten:
dynamischer Verzeichnisschutz
das könnte man dann ja entspr. ausbauen.

[Xean]

Ich hab es mir noch nicht durchgelesen, aber sind dann gleichzeitig die dateien auch geschützt, wenn ich den pfat der datei direkt angebe?

[Jann Hendrik]

ja.
alle Dateien die sich dann in dem Verzeichnis sind können (wenn es entspr. geschützt ist) nur von authorisierten Personen via http geöffnet werden.
Ein Öffnen mit PHP durch include() oder derergleichen ist weiterhin möglich!

[robo47]

mit der von mir oben beschriebenen htaccess, nur mit dem inhalt:

Code:

DENY FROM ALL

ist das verzeichnis von WEB-Seite komplett geschützt ... ich mein die 3 worte sagen das ja quasi schon, ansonsten, versuchs doch einfach mal ? erstell nen ordner, leg ne htaccess mit dem inhalt rein, leg noch irgendwas dazu und versuch es via browser aufzurufen.

mfg
robo47

[Xean]

Das funktioniert, und ich sehe gerade, dass es das ist, was ich suche.
Danke.

[EDIT:]

Jetzt hab ich mal bisschen weiter gemacht, und habs hiermit probiert:

.htaccess

Code:

# .htaccess-Datei für Web-Verzeichnis /service
AuthType Basic
AuthName "Service-Bereich"
AuthUserFile .htusers
Require user valid-user

.htusers

Code:

# BenutzerDatei für Web-Projekt
testuser:test

aber ich bekomme immer eine Error500-Seite, wenn ich versuche eine datei aus dem Ordner aufrufe

[Artemis]

Das user bei Require muss weg. Also nur Require valid-user.

[Bookworm]

Mal ne theoretische Frage: Kann man Dateien nicht auch (sehr) bedingt per IP schützen?

So nach diesem Schema:

PHP-Code:

<?php 

$ip = $_SERVER['REMOTE_ADDR'];

switch($ip)
{
case "XXXXXXx": //irgendeine IP eben, die man nicht auf der Seite will
die(); //Oder Umleitung auf ne Fehlerseite oder sonst was
break; 

//usw.
}

//Inhalt, auf den ja jetzt nur noch User mit der "richtigen IP" kommen...

//ginge natürlich auch so, dass man nur Zugriff hat, wenn man eine bestimmte
//IP hat
?>

was sagt ihr? *mir ist klar das man seine IP auch wechseln kann^^*

//edit: ich sehe grad, meine eigene IP ändert sich bei jeder Einwahl ins Internet^^ Da wäre mein System sehr sinnlos^^

[Artemis]

Dann müsste man ja trotzdem alle Aufrufe per mod-rewrite umleiten, in PHP ein kleines Autorisierungssystem schreiben und dann die Dateien ausgeben.

Warum, wenn es per .htaccess einfacher geht.

[Xean]

mh... hats irgendwie nicht gebracht.

[EDIT:]

Gibt es eine Datei auf einem server, die _immer_ aufgerufen wird??? Also eine, die den request "verarbeitet"

[WarrenFaith]

.htaccess wird, wenn vorhanden, immer vorm aufruf der Seite geladen. Dort kannst du z.B. auch URL-Rewrites machen.

[$traight-$hoota]

Zitat:

Zitat von WarrenFaith

.htaccess wird, wenn vorhanden, immer vorm aufruf der Seite geladen. Dort kannst du z.B. auch URL-Rewrites machen.

also ne .htaccess datei wird nur für das jeweilige verzeichnis und dessen unterverzeichnisse eingebunden.
um solche angaben für wirklich ALLE requests an den server zu machen, muss das in der apache-config (httpd.conf) eingetragen werden (darauf hat man bei nem normalen webserver aber keinen zugriff).

Zitat:

Zitat von Bookworm

Kann man Dateien nicht auch (sehr) bedingt per IP schützen?

ja, das geht ganz einfach per htaccess:
statt dem ALL in DENY FROM ALL kann man auch ip-addressen und -bereiche sowie hostnamen verwenden.
z.b.

Code:

DENY FROM 23.12.173.65, 34.12.88.*, microsoft.com

[Jann Hendrik]

auf diese Weise kann man zB böse bots von seiner website ausschliessen, wenn man deren IP's (oder sonstiges) kennt.

[Basti]

Hi.

Warum legst du die Dateien nicht einfach in ein Verzeichnis außerhalb des Document Root? Dann kannst du dir ein Skript schreiben, dem du als Parameter die ID der gewünschten Datei übergibst und das die Authentisierung in PHP erledigt?

HTTP-Basic-Authentication (so heißt die Technik mit deiner .htuser) ist ziemlich beschissen wartbar, hat diesen häßlichen Anmelde-Dialog und, vor allem, das abmelden ist nur ziemlich umständlich möglich.

Um eine PHP-Datei immer auszuführen gibt es die PHP-Option auto.prepend-file. Ist aber eigentlich ziemlich, da man ja in der Regel eh ein zentrales Skript hat (FrontController), der alle Anfragen engegennimmt und bearbeitet.

Wenn die zu schützenden Dateien jedoch im (nicht per .htaccess) geschützen Ordner innerhalb des doc_root liegen und nur mit PHP geschützt werden, dann kann auf die zugrgriffen werden, wenn PHP mal nicht anspringt (wenn als CGI installiert). Das sollte natürlich eh nicht vorkommen, aber...

Auf Shared Hosts müssen die Daten ggf. noch vor Zugriffen durch andere Kunden geschützt werden. Hier müssen die Dateirechte entsprechend gesetzt werden. Und, vor allem betrifft das Dateien in einem gemeinsamen emporären Ordner, also z.B. Session-Dateien. Hier also immer einen sicheren Ort angeben.

Basti

[Jann Hendrik]

das mit dem doc_root setzt voraus, dass die Methode auch funktioniert. Das ist leider nicht bei allen hostern der Fall!