Lösenordsskydda enskilda filer i PHP

Oj... hmmmm ja jo... jag byggde en liknande lösning. Tankade upp allt i MySQL databasen, satt en behörighets flagga på dem så att rätt personer med rätt behörig fick ladda ner vissa filer.
Så du är inne på rätt spår.
MySQL databasen kan bli tungdriven med en massa filer i sig.
Men av någon anledning kalldes vår MySQL server för monster...

Strunta i att spara FILEN i databasen... spara bara information om filen. Som Mattias skriver så kan databasen bli väldigt stor och 'tungdriven' annars

Jag använder CocoaMySQL på macen och redigerar ett antal databaser med den, funkar bra.
Borde finnas på versiontracker.com eller macupdate.com

Man brukar aldrig rekommendera att spara filer i databaser; tillvägagånssättet du använt dig av är helt korrekt och det bästa tänkbara. Köp lite mer utrymme; kostar ju nästan gratis.

CocoaMySQL fungerar rätt bra.

Om du kan använda det eller ej beror på ditt webhotell. För att öka säkerheten så kan man(=webhotellet i det här fallet) konfigurera så att anslutningar till databasen endast får göras lokalt.

Å andra sidan är phpMyAdmin rätt bra, har klarat mig långt med det.

Håller med.

Fördelen med CocoaMySQL är att det känns rappare (enligt mig)

Om du lösenordsskyddar mappen så räcker det med att de loggar in en gång (per besök).

Jo det är rätt, det räcker att logga in en gång för att komma åt alla filer med htaccess. Har ett kanonscript i PHP/mySQL för att administrera konton för olika rättigheter till filer. Problemet är ju bara som sagt att man endast kan skydda websidor på detta sätt. Jag vill skydda ALLA filer, videofiler etc så att man inte kan komma åt en fil genom att knappa in/gissa sig till en URL för filen. Då kan man tycka att htaccess skulle vara lösningen och det är det ju till viss del.

Finns ett problem dock. Jag vill använda ett vanligt snyggt JavaScript-formulär för användaren att ange användarnamn och lösenord, så man slipper det ap-fula grå formuläret som annars dyker upp. Detta skript skickar sedan info till den htaccess-skyddade mappen i formen användarnamn:lösenord@mindomän/skyddad_mapp. Detta funkar kanon för alla webläsare och operativsystem jag testat det på UTOM senaste Microsoft Internet Explorer för Windows. Anledningen är att MS har stängt denna möjlighet för de tycker det är en säkerhetsrisk...

Hittade ett php-script som sade sig fixa detta även med senaste IE-uppdateringen men det funkade inte det heller tyvärr. Är det någon som fixat lösning på detta så skulle det vara suveränt om ni kan visa hur.

I nuläget blir det så att de som har denna version av IE först får logga in med JavaScript-formuläret och sedan måste logga in en gång till i det grå htaccess-formuläret. Grymt irriterande och typiskt Microsoft att komma med sin egen lösning vilken i detta fallet försvårar för utvecklaren.

I och med att majoriteten av webanvändarna kör IE på Windows och att de dessutom uppdaterar i löpande takt måste man ju ha en lösning som funkar även för dessa. (Tidigare versioner av IE för Windows funkar fortfarande lika bra som andra browers)

Jo det är rätt, det räcker att logga in en gång för att komma åt alla filer med htaccess. Har ett kanonscript i PHP/mySQL för att administrera konton för olika rättigheter till filer. Problemet är ju bara som sagt att man endast kan skydda websidor på detta sätt. Jag vill skydda ALLA filer, videofiler etc så att man inte kan komma åt en fil genom att knappa in/gissa sig till en URL för filen. Då kan man tycka att htaccess skulle vara lösningen och det är det ju till viss del.

Finns ett problem dock. Jag vill använda ett vanligt snyggt JavaScript-formulär för användaren att ange användarnamn och lösenord, så man slipper det ap-fula grå formuläret som annars dyker upp. Detta skript skickar sedan info till den htaccess-skyddade mappen i formen användarnamn:lösenord@mindomän/skyddad_mapp. Detta funkar kanon för alla webläsare och operativsystem jag testat det på UTOM senaste Microsoft Internet Explorer för Windows. Anledningen är att MS har stängt denna möjlighet för de tycker det är en säkerhetsrisk...

Hittade ett php-script som sade sig fixa detta även med senaste IE-uppdateringen men det funkade inte det heller tyvärr. Är det någon som fixat lösning på detta så skulle det vara suveränt om ni kan visa hur.

I nuläget blir det så att de som har denna version av IE först får logga in med JavaScript-formuläret och sedan måste logga in en gång till i det grå htaccess-formuläret. Grymt irriterande och typiskt Microsoft att komma med sin egen lösning vilken i detta fallet försvårar för utvecklaren.

I och med att majoriteten av webanvändarna kör IE på Windows och att de dessutom uppdaterar i löpande takt måste man ju ha en lösning som funkar även för dessa. (Tidigare versioner av IE för Windows funkar fortfarande lika bra som andra browsers)

Ha en .htaccess-fil i den mapp du vill skydda alla filer i. Men använd .htaccess-filen till att skriva om ALL trafik (med mod_rewrite och RewriteRule) till en index.php som du lagt i samma mapp (således, all trafik förutom index.php ska vidarebefodras till index.php)

Sedan i index.php kan du i lugn och ro kontrollera om användarn är inloggad eller inte, och efter det kontrollerar du adressenraden och vilken fil användarn ville komma åt (mod_rewrite skriver alltså inte om adressraden utan skriver endast om den internt hos apache). När du kontrollerat att användarn får hämta hem filen så kan index.php ändra content-type och inkludera filen.

Det fixar du genom att skapa en fil som heter .htaccess som du lägger i den mapp du vill skydda. Skriv exempelvis:

RewriteEngine on
RewriteRule ^(.*)$ koll.php

Ovanstående rewriterule innebär att all trafik till någon fil i aktuell mapp styrs om,
(görs med koden ^(.*)$) till filen (koll.php).

Bra 'kom igång'-läsning

Grymt! Funkar perfekt. Tackar.

Det ska väl tilläggas att mod_rewire är ett tillägg till Apache, så det fungerar inte på en webbserver som IIS. (Eller finns det tillägg till IIS som imiterar detta?)

En annan variant är ju att du skapar en mapp som du inte tillåter läsning från webben i (med htacces deny all elelr vad det nu var), sedan har du ett php dokument som hämtar filen, och skriver ut den, berooende på om man är inloggad eller ej. Ett tipps är ju att hålla lite ordning på filerna i databasen så du slipper hanskas med dumma filnamn.
Har erfarenhet av att man kan fula sig (om man låter andra ladda upp filer) , så spara det filnamn du vill ha på filen i databasen och en härledning till filen, som sedan phpdokumentet hämtar.

Lite lagom rörigt hoppas du förstår hur jag tänker.

Jag har kört mycket filer i databaser i mitt tidigare liv.. men det är mycket som talar emot att göra det och en del fördelar.
Fast den största nackdelen enligt mig är att MySQL i standard konfig har en query buffert på 1Mb som gör att du inte kan få in en större fråga än en megabyte. (Iaf är det så på de flesta konfigurationer av MySQL på de platformar jag hunnit avverka).
Fördelen är kanske just att man kan få ut filer direkt ifrån queris utan att behöva göra query, läas in fil och sedan visa. Fast jaja.. för mindre filer.. kanske för stora filer inte.. är kanske min sammanfattning.