| Autor | Zpráva | ||
|---|---|---|---|
| Stewy Profil |
#1 · Zasláno: 4. 3. 2012, 23:50:37
Zdravím,
mám ve složce na webu fotogalerii, a potřeboval bych zamezit přístup k jednotlivým fotografiím. Zkoušel jsem v .htaccess nastavit práva, ale funguje to jenom pro adresáře nebo pro soubory, které nejsou obrázkem (vypíše permission denied). Options -Indexes Order Allow,Deny Deny from all Ale v okamžiku, kdy ze zakázané složky se zakázanými právy pro soubory otevřu obrázek, tak se přesto zobrazí. Zobrazuji na webu obrázky pomocí JS Lightbox, ale celá cesta k obrázku je stejně k dispozici a chci ošetřit, aby si fotky nějaký filuta nezobrazoval náhodně napřímo zadáním cesty, protože ne všechny fotky budou přístupné všem. Díky za odpovědi! |
||
| Str4wberry Profil |
#2 · Zasláno: 5. 3. 2012, 00:09:30
Můžeš ty adresy obrázků přepisovat na serverový skript, který zkontroluje oprávnění a v případě úspěchu vrátí obrázek ze zakázané složky. Případně dát obrázkům nějaká náhodná a dlouhá jména, která těžko někdo napsáním uhodne.
|
||
| Stewy Profil |
#3 · Zasláno: 6. 3. 2012, 10:15:34
Díky za tip.
Náhodná a dlouhá jména nechci obrázkům dávat, bude jich hodně, a potřebuju v tom mít pořádek a určitou systematičnost. Zvolil bych druhou možnost. Nenapadá mě ale, jak mám to oprávnění ve skriptu kontrolovat. Napadlo mě například podle referera, ale to mi přijde jako taková nečistá a krajní možnost. Má někdo nějaký nápad? |
||
| weroro Profil |
#4 · Zasláno: 6. 3. 2012, 10:41:51
Stewy:
Toto vážne nefunguje? (Len sa pýtam, lebo mne to funguje) Order Deny,Allow deny from all allow from IP_SERVERA |
||
|
Časová prodleva: 3 dny
|
|||
| Stewy Profil |
#5 · Zasláno: 9. 3. 2012, 11:35:47
weroro:
Ne, když dám do složky s fotkou .htaccess s tímto příkazem, tak se fotka nezobrazí. I když chci zobrazit fotku php skriptem. Jako by se v tomto případě brala v úvahu pouze ip adresa toho, kdo skript spustí, ne toho serveru, kde je skript uložen. Zkoušel jsem dát do allow svoji ip adresu a php skript fotku zobrazil. Dal jsem tam adresu serveru a už ji nezobrazil. |
||
| Str4wberry Profil |
#6 · Zasláno: 9. 3. 2012, 13:05:47
Můžeš se tam ale dostat PHP skriptem. Stačí mu nastavit hlavičku jako pro obrázek, vypsat obsah daného souboru (obrázku) a máš to. Tento skript dále může jednoduše určit, jestli je uživatel oprávněn k zobrazení obrázku atp. Pokud využiješ přepisu adres, mohou i ty adresy vypadat jako dřív. S tím, že při neoprávněném přístupu tam můžeš vložit nějaký jiný obrázek „Přístup zamítnut“.
|
||
| Stewy Profil |
#7 · Zasláno: 11. 3. 2012, 23:10:45
Díky za rady,
vyzkoušel jsem nabídnutý postup a už to mám vymyšlené. Do složky s obrázky jsem dal .htaccess s příkazy -Indexes Order Allow,Deny Deny from all Přímo se tam dostat nelze, ale php skript pomocí funkce readfile se tam dostane. Je to správně z hlediska bezpečnosti? Tzn. i když je tam deny from all, žádnou adresu navíc jsem nepovoloval. |
||
| Keeehi Profil |
#8 · Zasláno: 11. 3. 2012, 23:45:19
Stewy:
Ano, to je správný postup. |
||
|
Časová prodleva: 14 let
|
|||
0