Autor Zpráva
Stewy
Profil
Zdravím,
mám ve složce na webu fotogalerii, a potřeboval bych zamezit přístup k jednotlivým fotografiím.
Zkoušel jsem v .htaccess nastavit práva, ale funguje to jenom pro adresáře nebo pro soubory, které nejsou obrázkem (vypíše permission denied).

Options -Indexes
Order Allow,Deny
Deny from all

Ale v okamžiku, kdy ze zakázané složky se zakázanými právy pro soubory otevřu obrázek, tak se přesto zobrazí.
Zobrazuji na webu obrázky pomocí JS Lightbox, ale celá cesta k obrázku je stejně k dispozici a chci ošetřit, aby si fotky nějaký filuta nezobrazoval náhodně napřímo zadáním cesty, protože ne všechny fotky budou přístupné všem.

Díky za odpovědi!
Str4wberry
Profil
Můžeš ty adresy obrázků přepisovat na serverový skript, který zkontroluje oprávnění a v případě úspěchu vrátí obrázek ze zakázané složky. Případně dát obrázkům nějaká náhodná a dlouhá jména, která těžko někdo napsáním uhodne.
Stewy
Profil
Díky za tip.
Náhodná a dlouhá jména nechci obrázkům dávat, bude jich hodně, a potřebuju v tom mít pořádek a určitou systematičnost. Zvolil bych druhou možnost. Nenapadá mě ale, jak mám to oprávnění ve skriptu kontrolovat. Napadlo mě například podle referera, ale to mi přijde jako taková nečistá a krajní možnost. Má někdo nějaký nápad?
weroro
Profil
Stewy:
Toto vážne nefunguje? (Len sa pýtam, lebo mne to funguje)
Order Deny,Allow
deny from all
allow from IP_SERVERA
Stewy
Profil
weroro:

Ne, když dám do složky s fotkou .htaccess s tímto příkazem, tak se fotka nezobrazí.
I když chci zobrazit fotku php skriptem. Jako by se v tomto případě brala v úvahu pouze ip adresa toho, kdo skript spustí, ne toho serveru, kde je skript uložen. Zkoušel jsem dát do allow svoji ip adresu a php skript fotku zobrazil. Dal jsem tam adresu serveru a už ji nezobrazil.
Str4wberry
Profil
Můžeš se tam ale dostat PHP skriptem. Stačí mu nastavit hlavičku jako pro obrázek, vypsat obsah daného souboru (obrázku) a máš to. Tento skript dále může jednoduše určit, jestli je uživatel oprávněn k zobrazení obrázku atp. Pokud využiješ přepisu adres, mohou i ty adresy vypadat jako dřív. S tím, že při neoprávněném přístupu tam můžeš vložit nějaký jiný obrázek „Přístup zamítnut“.
Stewy
Profil
Díky za rady,
vyzkoušel jsem nabídnutý postup a už to mám vymyšlené. Do složky s obrázky jsem dal .htaccess s příkazy
-Indexes
Order Allow,Deny
Deny from all

Přímo se tam dostat nelze, ale php skript pomocí funkce readfile se tam dostane. Je to správně z hlediska bezpečnosti? Tzn. i když je tam deny from all, žádnou adresu navíc jsem nepovoloval.
Keeehi
Profil
Stewy:
Ano, to je správný postup.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: