Multidesk.be » Forums » Webdevelopment & -scripting » Beveiligen serverfiles

  • Pagina
  • 1 van 1
0 gasten lezen dit onderwerp.
^ Onderwerp geschreven door csvjs op woensdag 17 februari 2010 om 12:40:44.
csvjs heeft nog geen avatar toegevoegd
Multiviteit: 3
vanwege een PHP-starter:
Ik bouw een website met gebruik van Apache-Mysql-PHP en wordt gehost door Belgacom.
Heb een database aangemaakt met users met userid & wachtwoord en heb reeds een login-systeem.
Elke user mag slechts toegang hebben tot zijn eigen files, die kunnen afgeleid worden van het userid.
De dierctorystructuur is als volgt:
WWW-root
Data
user1file1.xls user1file2.xls user2file1.xls user2file2.xls ..........
Elke aangelogde user kan via PHP alleen zijn eigen files zien.

Maar hoe bescherm ik de files tegen rechtstreekse opvraging via de url ?
voorbeeld: user1 is aangelogd en vraagt: www.domein.be/Data/user2file1.xls
Zodoende krijgt hij rechtstreeks toegang tot die file van user2.
Hoe kan ik dit best vermijden ???
nb gebruik van .htaccess wordt steeds afgeraden

Bedankt voor je hulp
JosS
^ Reactie #1 geschreven door Martijn op woensdag 17 februari 2010 om 22:22:39.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
Waarom wordt het gebruik van htaccess afgeraden? Dat (Apache configuratie) lijkt me gewoon uitermate interessant en bruikbaar in deze situatie.

Wat je kan doen, is de files plaatsen in een map die niet toegankelijk is vanaf het Internet en de files vervolgens serven via een PHP script die de permissies checkt.
Met vriendelijke groeten,
Martijn Wouters
^ Reactie #2 geschreven door csvjs op donderdag 18 februari 2010 om 00:17:50.
csvjs heeft nog geen avatar toegevoegd
Multiviteit: 3
Beste Martijn,

Hartelijk dank voor je snelle reactie en je wellicht heel goede tip.
Maar ik weet nog niet veel van Apache-beveiliging enzo, ik ben namlijk al 35 j actief op een mainframe en dat is een totaal andere wereld.

1. Hoe maak ik op de server een map aan die NIET toegankelijk is via Internet ?

2. Via .htaccess heb ik al geprobeerd met deze inhoud in het bestand, in de beschermde directory geplaatst:
Order Deny,Allow
Deny from all

Ik heb dan inderdaad geen rechtstreekse toegang meer via de url maar via
mijn PHP-scripts ook niet meer. ??????

Wil je me nog een beetje verder helpen aub ?
Bedankt

mvg,
JosS

Opmerking van de crew

Even je reactie op naam gezet ;)
Wheeldigger
^ Reactie #3 geschreven door Martijn op vrijdag 19 februari 2010 om 10:50:51.
Martijn heeft nog geen avatar toegevoegd
Multiviteit: 13785
Beheerder
In principe is dat iets wat op serverniveau wordt ingesteld. Ik weet echter niet of dit mogelijk is bij Belgacom. Is er een reden waarom je voor Belgacom kiest voor deze dienst?

Klopt dat je geen toegang hebt via de URL, dat is namelijk ook de bedoeling. Wat je kan doen, is via PHP het bestand inlezen en vervolgens serven. Dit werkt zeer goed voor kleine bestanden, voor grote bestanden kan het een negatieve impact op de performantie van je server hebben en kijk je beter uit naar een ander soort oplossing.

Hoe groot zijn de bestanden gemiddeld?
Met vriendelijke groeten,
Martijn Wouters
  • Pagina
  • 1 van 1

Snel-antwoordformulier
Toon uitgebreid antwoordformulier Bericht nalezen Bericht plaatsen