Protéger acces direct à un repertoire

[seabird]

Salut,

J'ai un répertoire qui contient 1000 photos.
Je souhaite en afficher 20 de manières aléatoire sur mon site chaque jour.

J'ai donc créé un script php qui choisit les 20 photos et les enregistre en Base de donnée. Jusque la pas de problème. Une fois les 20 thumbs aléatoires affichés sur la page, je veux pouvoir cliquer éventuellement sur chaque pour qu'elles s'agrandissent en taille réelle.

Mes 1000 photos tailles réelles sont dans le repertoire: /photos-gratuites/
En cliqnant sur les thumbs j'appelle les photo par:
telechargement-photo.php?photo=photo$i.jpg
Dans telechargement-photo.php je verifie que la photo demandée est bien en bdd puis j'affiche si c'est le cas, pour eviter de pouvoir visualiser les autres photos du répertoire.

Code: Tout sélectionner

  $photo = $_GET['photo'];
$repertoire_photos = 'photos-gratuites/';
$photo_existe=0;


$table="numeros_photo";
include("base-de-donnee.php");
   @mysql_connect($host,$user,$pass)
      or die("Impossible de se connecter");
   @mysql_select_db("$bdd")
       or die("Impossible de se connecter");
          
$query = "SELECT * from $table ";
$result = mysql_query($query);

while ($val = mysql_fetch_array($result)) {
            if ($photo==$val['numero']) $photo_existe=1;
                                          }
                               
mysql_close();
if ($photo_existe==0){echo'<script>window.location="index.php"  </script>';exit();    }

else
echo '<img src="'.$repertoire_photos.$photo.'" >';

exit();


Cela fonctionne convenablement. Cependant on peut passer outre le script si on connait le chemin des photos .
J'ai donc mis un htaccess dans le répertoire avec : deny from all.
Mais le script telechargement-photo.php ne passe plus ( acces refusé).

D'ou ma question comment faire pour que seul le script passe ?

Merci

[raljx]

peut etre mettre les bons droits sur ton dossiers photos comme supprimer l'attribut lecture et ecriture dans les permissions publiques (chmod 771) et supprimer l'htaccess

[seabird]

peut etre mettre les bons droits sur ton dossiers photos comme supprimer l'attribut lecture et ecriture dans les permissions publiques (chmod 771) et supprimer l'htaccess

Non cela ne fonctionne pas , on a quand même acces aux photos lorsque l'on connait le chemin.

On peut laisser le deny from all dans le htaccess et mettre : dans le telechargement-photos.php:

Code: Tout sélectionner

header('Content-Description: File Transfer');
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename="'. basename($repertoire_photos.$photo) .'";');
header('Content-Length: '. filesize($repertoire_photos.$photo));
@readfile($repertoire_photos.$photo) OR die();


à la place de

Code: Tout sélectionner

echo '<img src="'.$repertoire_photos.$photo.'" >';

Comme ça cela fonctionne le script passe bien à travers le deny from all , mais ce n'est pas ce que je veux. Je veux que l'image s'affiche directement et non pas proposée au téléchargement.

[webmasterlamogere]

il faut changer le content-type. Par exemple :

Code: Tout sélectionner

header('Content-type: image/jpeg');
header('Content-Length: '. filesize($repertoire_photos.$photo));
@readfile($repertoire_photos.$photo) OR die();


voir utiliser getimagesize pour récupérer le type mime

[seabird]

il faut changer le content-type. Par exemple :

Code: Tout sélectionner

header('Content-type: image/jpeg');
header('Content-Length: '. filesize($repertoire_photos.$photo));
@readfile($repertoire_photos.$photo) OR die();


voir utiliser getimagesize pour récupérer le type mime

Ca marche nickel , merci . Je n'ai pas penser à changer le Content-type.
Une chose de réglée

[Leonick]

il faut changer le content-type. Par exemple :

Code: Tout sélectionner

header('Content-type: image/jpeg');
header('Content-Length: '. filesize($repertoire_photos.$photo));
@readfile($repertoire_photos.$photo) OR die();


voir utiliser getimagesize pour récupérer le type mime

c'est à mon avis la seule possibilité.

[aerie]

D'ou ma question comment faire pour que seul le script passe ?

Merci

Le moyen le plus simple d'empêcher le listage d'un répertoire via un navigateur est de mettre un document "index.htm" vide dans celui-ci. Juste avec les balises "<html></html>".

[Leonick]

D'ou ma question comment faire pour que seul le script passe ?

Merci

Le moyen le plus simple d'empêcher le listage d'un répertoire via un navigateur est de mettre un document "index.htm" vide dans celui-ci. Juste avec les balises "<html></html>".

pas vraiment, le plus simple est d'ajouter

Code: Tout sélectionner

IndexIgnore *

dans le htaccess de la racine, car cela fonctionnera pour tous les répertoires. Et pas le problème d'avoir oublié un index.htm sur un répertoire

[zeb]

htaccess dans le répertoire avec : deny from all.

et avec allow + ip te ton serveur ton script il passe pas ? (je sais plus la syntaxe exacte)

[seabird]

A cool on parle de moi . Non sans rire la discussion date de janvier, ce problème est résolu depuis. D'ailleurs il me semble que je l'ai dit... mais merci quand même pour les suggestions.

A plus tard pour de nouvelles aventures ....

[aerie]

pas vraiment, le plus simple est d'ajouter

Code: Tout sélectionner

IndexIgnore *

dans le htaccess de la racine, car cela fonctionnera pour tous les répertoires. Et pas le problème d'avoir oublié un index.htm sur un répertoire

A tiens, je connaissais pas ^^ merci pour l'info Leonick

[aerie]

A cool on parle de moi . Non sans rire la discussion date de janvier, ce problème est résolu depuis. D'ailleurs il me semble que je l'ai dit... mais merci quand même pour les suggestions.

A plus tard pour de nouvelles aventures ....

Pas de problèmes ^^, je suis tombé sur le sujet en cherchant je sais plus quoi qui n'avait rien à voir. J'ai répondu car cela permet d'avoir des suggestions différentes pour un problème donné, ce qui est toujours bon à prendre dans la mesure ou il existe toujours plusieurs réponses à une même problématique. Chaque développeur ayant une approche différente des problèmes. Perso je trouve la méthode du header un peu sauvage. L'avantage du ficher index.htm ou de la solution proposée par Leonick est que le serveur PHP n'est pas sollicité. Mais chacun voit midi à sa prote et toutes les méthodes qui fonctionnent sont au final de bonnes méthodes ^^.

++ la foule en délire !