Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2706 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  [PHP] htaccess, Restriction des droits sur les img d'une galerie photo

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[PHP] htaccess, Restriction des droits sur les img d'une galerie photo

n°745638
ofbdood
Posté le 30-05-2004 à 22:15:39  profilanswer
 

:hello: à tous
 
Voilà j'ai une petite question à laquelle je n'ai pas vraiment trouvé de réponse sur le forum.
Je vous explique brièvement mon cas.
J'ai créé une galerie photo en php, je stocke mes images dans des dossiers, jusque là rien de particulier :p
Les problèmes arrivent quand on parle de restriction d'accès.
 
J'avais fait 2 systèmes de securité, le premier avec un htaccess à la racine du site permettant de filtrer et ensuite des comptes personnels pour chacun des membres.
Le problème c'est que j'aimerais pouvoir restreindre l'accès à certains dossiers d'images selon le membre  
(ex : membre 1 à l'accès aux dossiers 1, 2 et 3 et le membre 2 au dossier 3 uniquement)
Mais un membre pas trop stupide pourra avoir accès à toutes les images en recupérant l'url et en modifiant le nom de dossier.
 
J'aurais donc aimé savoir quelles solutions je pouvais mettre en oeuvre pour supprimer cette "faille".
 
Y'a t'il un moyen de permettre l'accès à un contenu de dossier que par le biais d'un fichier (genre "voir_image.php" ) et donc empêcher de lister le contenu du dossier (comme quand il n'y a pas d'index) et par la même occasion d'empêcher également de télécharger une image si l'on connait son chemin complet ? (oui ça fait beaucoup de contraintes je sais :p)
 
Le tout en sachant que j'aimerais conserver mon système actuelle cad base de données mysql contenant la liste des membres avec login et pass en md5.
 
Merci d'avance à tous


Message édité par ofbdood le 02-06-2004 à 00:36:25
mood
Publicité
Posté le 30-05-2004 à 22:15:39  profilanswer
 

n°745639
kadreg
profil: Utilisateur
Posté le 30-05-2004 à 22:18:02  profilanswer
 

chmod u-r


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°745818
ofbdood
Posté le 31-05-2004 à 01:49:43  profilanswer
 

désolé pour le retard ... oui donc là si je retire les droits de lecture ok on ne pourra plus voir l'image en rentrant l'url directement mais je ne pourrais plus non plus afficher l'image à partir de mon site ... nan ?

n°745837
simogeo
j'ai jamais tué de chats, ...
Posté le 31-05-2004 à 03:25:29  profilanswer
 

dans un .htaccess
 
Options -Indexes


---------------
from here and there -- \o__________________________________ -- la révolution de la terre, en silence
n°745847
kadreg
profil: Utilisateur
Posté le 31-05-2004 à 07:39:47  profilanswer
 

ofbdood a écrit :

désolé pour le retard ... oui donc là si je retire les droits de lecture ok on ne pourra plus voir l'image en rentrant l'url directement mais je ne pourrais plus non plus afficher l'image à partir de mon site ... nan ?


 
pas sur l'image, sur le répertoire...


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°745950
ofbdood
Posté le 31-05-2004 à 11:21:57  profilanswer
 

simogeo : Merci, c'est déjà un peu mieux comme ça :)
 
kadreg : J'ai testé sur un fichier et un dossier mais ça ne fonctionne pas
(sur un dossier j'ai pu enlever les droits en lecture pour "Group" et "Public" mais pas pour "Owner", et dans ce cas j'ai tjs accès aux fichiers que ce soit par le biais du site ou par un lien direct vers une image)
 

n°745951
kadreg
profil: Utilisateur
Posté le 31-05-2004 à 11:23:07  profilanswer
 

Bah oui, mais c'est pour owner qu'il faut le changer.


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°745986
ofbdood
Posté le 31-05-2004 à 11:54:04  profilanswer
 

bah c'est bien ce que je me suis dis mais impossible d'enlever ce droit pour le "Owner"
 
c'est sûrement dû à mon cas de figure :
je n'heberge pas le site chez moi, il est chez phpnet. Je change les droits par le biais du ftp c'est peut être pour ça, non ?

n°745987
kadreg
profil: Utilisateur
Posté le 31-05-2004 à 11:55:02  profilanswer
 

ouais :o


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°745990
ofbdood
Posté le 31-05-2004 à 11:58:15  profilanswer
 

c'est vrai que j'aurais pu le préciser dès le début  :sarcastic:  
donc c'est sans espoir ?  :cry:

mood
Publicité
Posté le 31-05-2004 à 11:58:15  profilanswer
 

n°746048
fabien
Vive la super 5 !
Posté le 31-05-2004 à 12:36:00  profilanswer
 

ofbdood a écrit :

c'est vrai que j'aurais pu le préciser dès le début  :sarcastic:  
donc c'est sans espoir ?  :cry:

tu fous un index.html dans ton dossier [:dawa]


Message édité par fabien le 31-05-2004 à 12:36:17

---------------
Découvre le HFRcoin ✈ - smilies
n°746062
ofbdood
Posté le 31-05-2004 à 12:51:08  profilanswer
 

Tiens un BTS IG :p
bah nan en fait pour le listing des fichiers ça a été résolu par  
"Options -Indexes"
 
Maintenant ce que je veux c'est qu'on puisse accéder à une image uniquement par le biais d'une certaine page et non en rentrant l'url direct de l'image par exemple.

n°746402
UnKnoW
Real eyes realize real lies
Posté le 31-05-2004 à 17:45:56  profilanswer
 

ofbdood a écrit :

Tiens un BTS IG :p
bah nan en fait pour le listing des fichiers ça a été résolu par  
"Options -Indexes"
 
Maintenant ce que je veux c'est qu'on puisse accéder à une image uniquement par le biais d'une certaine page et non en rentrant l'url direct de l'image par exemple.


 
J'ai le même problème...  :??:


---------------
Real eyes realize real lies
n°746470
ofbdood
Posté le 31-05-2004 à 18:13:47  profilanswer
 

Pas évident à réaliser apparement :(  
Personne n'a une brillante idée alors ?

n°746487
ofbdood
Posté le 31-05-2004 à 18:29:57  profilanswer
 

Ou sinon on peut peut-être faire comme ceci :
 
un dossier du genre "www/ht/"
dedans le fichier qui contient les pass (.htpass)
protéger ce dossier afin qu'il soit innaccessible de l'exterieur (c'est là ou j'ai un doute)
 
il faut que le fichier puisse être lu et écrit par une page en php.
Si c'est le cas, à chaque inscription on ajoute une ligne (login:pass) dans le .htpass
 
c'est possible ça ?

n°746581
simogeo
j'ai jamais tué de chats, ...
Posté le 31-05-2004 à 20:00:57  profilanswer
 

--> .htaccess
 
deny from all


---------------
from here and there -- \o__________________________________ -- la révolution de la terre, en silence
n°746861
ofbdood
Posté le 31-05-2004 à 23:18:04  profilanswer
 

Bon voilà j'ai presque fini !
J'ai fait comme ceci :
 
documentroot : d:\www
/www/private/01/
.htaccess (deny from all)
.htgroup (un groupe par dossier d'image)
.htpass (ensemble des membres inscrits)
Les 2 derniers fichiers sont rempli à partir de ma base mysql et réécrit dès qu'un changement intervient.
 
/www/ma_galerie/fichiers/img01/
/www/ma_galerie/fichiers/img02/
Dans chacun des dossiers, lors de la création, un .htaccess est généré avec à l'intérieur :
<Limit GET POST>
require group grp10
</Limit>
 
ou "10" représente l'id du dossier.
 
Voilà ça peut peut-être sembler lourd mais au moins niveau sécurité je pense pas pouvoir faire mieux :p
 
Il me reste plus qu'une bricole à régler, c'est que le cryptage des pass soit le même partout (base mysql, herbergeur phpnet, hebergement chez moi (Apache 1.3/Win2k))
en fait c'est une grosse bricole ...

n°747874
jolly
Posté le 01-06-2004 à 19:35:50  profilanswer
 

(flag)

n°748348
ofbdood
Posté le 02-06-2004 à 00:35:25  profilanswer
 

Voilà c'est au point  :)  
Donc pour résumer mon système consiste à gérer dynamiquement le contenu des .htaccess et .htpass
 
ça permet dans le cas d'une galerie photo, de donner des droits aux membres et empêcher n'importe quel utilisateur d'afficher une image en tapant l'url directement.
 
Si certains veulent plus de détails il n'y a pas de problème.
 
->Edition du titre.

n°748351
gm_superst​ar
Appelez-moi Super
Posté le 02-06-2004 à 00:46:03  profilanswer
 

ofbdood a écrit :

Maintenant ce que je veux c'est qu'on puisse accéder à une image uniquement par le biais d'une certaine page et non en rentrant l'url direct de l'image par exemple.


 
http://httpd.apache.org/docs-2.0/env.html#image-theft


---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°748606
ofbdood
Posté le 02-06-2004 à 11:22:28  profilanswer
 


 
Mais oui mais nan :p, ça, si je ne me trompe pas, cela empêche d'afficher par exemple une photo sur un forum mais ça n'empêche pas quelqu'un de VOIR la photo en rentrant l'url dans un navigateur.

n°748854
Ex-Floodeu​r
La Source
Posté le 02-06-2004 à 14:22:26  profilanswer
 

en utilisant les referers ?  [:sinclaire]  
 
sinon si quelqu'un a une solution, ca m'interesse :)


---------------
Saint Seiya  || La Livebox || Europe, débats, réflexions
n°748867
ofbdood
Posté le 02-06-2004 à 14:29:35  profilanswer
 

Bah il me semble pas que ça soit possible mais je me trompe peut-être...
le mieux c'est de tester  :D

n°749504
gm_superst​ar
Appelez-moi Super
Posté le 02-06-2004 à 20:43:28  profilanswer
 

ofbdood a écrit :

Mais oui mais nan :p, ça, si je ne me trompe pas, cela empêche d'afficher par exemple une photo sur un forum mais ça n'empêche pas quelqu'un de VOIR la photo en rentrant l'url dans un navigateur.


Heu j'ai pas dit que c'était utilisable comme ça. Faut comprendre et adapter... Si tu veux qu'on ne voit pas la photo en rentrant directement son URL y'a qu'une ligne à virer...


---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°749682
ofbdood
Posté le 02-06-2004 à 22:53:18  profilanswer
 

gm_superstar a écrit :

Heu j'ai pas dit que c'était utilisable comme ça. Faut comprendre et adapter... Si tu veux qu'on ne voit pas la photo en rentrant directement son URL y'a qu'une ligne à virer...


 
Oui mais faut qu'elle reste accessible lorsque je l'appelle d'une page de mon site.
Enfin je vais regarder cette solution de plus prêt tu as peut-être raison  :jap:

n°749686
gm_superst​ar
Appelez-moi Super
Posté le 02-06-2004 à 22:56:57  profilanswer
 

ofbdood a écrit :

Oui mais faut qu'elle reste accessible lorsque je l'appelle d'une page de mon site.


Pas de problème, il faut autoriser l'accès à partir du bon referer (donc l'url de la page qui inclut l'image)


---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°809456
lorantino
Posté le 29-07-2004 à 04:24:31  profilanswer
 
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  [PHP] htaccess, Restriction des droits sur les img d'une galerie photo

 

Sujets relatifs
Méthodes Statiques en PHP?Manuel Php a télécharger
htaccess avec easyPHP je suis débutant - HELP[HTACCESS] Simuler la racine du site a partir d'un sous-rep. ??
[PHP] astuce redirection erreurs ! help![PHP]Authentification par certificat?
[HTML & PHP] Passage variable en adresseProbleme PHP dans une page perso
[php] recup d'un string avec ' ou " dans un input 
Plus de sujets relatifs à : [PHP] htaccess, Restriction des droits sur les img d'une galerie photo


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR