Chcę stworzyć funkcjonalność w aplikacji WWW, która da dostęp do plików (załączników np. pdf) tylko zalogowanym osobom. Wymyśliłem, żeby to zrobić tak, że po wrzuceniu pliku na serwer (przez formularz + PHP) ten zmienia swoją nazwę na losowy ciąg znaków i ta nazwa jest zapisywana w bazie MySQL, przypisana do rekordu który dotyczy pliku. Teraz jeżeli ktoś nie zna tej nazwy to nie pobierze pliku przez http wpisując adres_www/plik.pdf , ale czy takie zabezpieczenie wystarczy? Co jeszcze wypadałoby zrobić? Uprawnienia do folderów? Tylko jakie nadać, żeby aplikacja wciąż mogła plik pobrać i wysłać zalogowanym użytkownikom?
0
0
htaccess deny to all
w Google
To zabezpieczy przed wpisaniem adresu w przeglądarkę, ale umożliwi skryptowi php odczytać plik i po weryfikacji uprawnień podać go użytkownikowi.
Parę rzeczy, które warto mieć na uwadze: http://www.media-division.com/the-right-way-to-handle-file-downloads-in-php/
0
Dzięki! Rzeczywiście poczytanie więcej o htaccess pomaga zrozumieć wiele spraw.