Kein Schutz der Dateien eines Downloadbereichs

Christian · Beitragvon **Christian** » Sa 5. Okt 2002, 16:03

Hallo.

Ich habe einen Kundenspezifischen Downloadbereich mit Links auf die zu downloadenden Dateien.

Doch das Prob daran ist, dass ja nur die Seite mit den Links geschützt ist und nicht die Dateien selber.

Was könnte man da denn machen?

Gruß, Christian

Dirk Einecke · Beitragvon **Dirk Einecke** » Sa 5. Okt 2002, 16:32

Hi.

Wenn die entsprechenden Kunden die URLs nicht weitergeben und auch sonst in ungeschützten Bereichen keine Links auf die Download-Files vorhanden ist kann man die URL ja nicht herausbekommen. Einen vollständigen Schutz kann man nur erreichen, wenn die Files in der DB sind (!Größenbegrenzung!) oder das Downloadverzeichnis selber geschützt ist (was mit Boardmitteln von webEdition nicht geht).

Christian · Beitragvon **Christian** » Sa 5. Okt 2002, 16:49

Hallo Dirk
Erst mal danke für deine zügige Antwort.

Die Dateien sind in der Datenbank (Werden über WE hochgeladen). Es handelt sich um gezippte-Wordtexte (sind maximal 100KB groß).

Aber warum sind Sie dadurch geschützt?

Dirk Einecke · Beitragvon **Dirk Einecke** » Sa 5. Okt 2002, 17:05

Hi.

Die Dateien sind in der Datenbank (Werden über WE hochgeladen). Es handelt sich um gezippte-Wordtexte (sind maximal 100KB groß).
Aber warum sind Sie dadurch geschützt?

Ist och optimal - will soll man also als Nicht-Kunde an die File rankommen? Besser gehts doch nicht.

Christian · Beitragvon **Christian** » Sa 5. Okt 2002, 17:24

Indem man den Pfad zur Datei eingibt., z.B. [url]http://www.meine_domain.de/kunden/datei.zip[/url]

Dirk Einecke · Beitragvon **Dirk Einecke** » Sa 5. Okt 2002, 17:47

Hi.

Christian schrieb am 2002-10-05 17:24 :
Indem man den Pfad zur Datei eingibt., z.B. [url]http://www.meine_domain.de/kunden/datei.zip[/url]

Und woher soll der Nicht-Kunde diesen Pfad wissen?

Christian · Beitragvon **Christian** » Sa 5. Okt 2002, 18:33

Es geht darum dass man nicht auf ewig Kunde ist sondern nur ungefähr 2 Wochen. Und dann hat man die Url zu den Downloadfiles der zukünftigen Kunden. z.B: [url]http://www.meine_domain.de/kunden/[/url].

Dirk Einecke · Beitragvon **Dirk Einecke** » Sa 5. Okt 2002, 19:03

Hi.

Dann müssen Sie sich ein Download-Script basteln, damit der Kunde nie den vollen URL der Datei sieht, die er herunterläd. Siehe dazu auch: http://www.dclp-faq.de/q/q-datei-download.html

Dirk Einecke · Beitragvon **Dirk Einecke** » Sa 5. Okt 2002, 19:35

Hi.

So - hier mal die Kurzfassung:

Das Downloadscript (downloads.php):
<?php
$MyFile = $_REQUEST["File"];
$MyDownloadFile = $_SERVER["DOCUMENT_ROOT"] . "/_download/" . $MyFile;
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename="$MyFile"");
readfile($MyDownloadFile);
?>

Der Aufruf:
<a href="downloads.php?File=foo.zip">Download</a>
Damit wird die Datei "www.doamin.de/_download/foo.zip" zum Download angeboten, ohne das der User sieht, wo die Datei erkommt.
Hilft Ihnen das weiter?

Zum Nachlesen:
http://www.we-devedge.de/Stuff/Beispiel ... ?Anker=142

_________________
MfG
Dirk Einecke - ASTARTE NEW MEDIA AG
we:DevEdge - http://www.we-devedge.de/

<font size=-1>[ Diese Nachricht wurde ge<auml;ndert von: Dirk Einecke am 2002-10-05 20:11 ]</font>

Christian · Beitragvon **Christian** » Sa 5. Okt 2002, 20:33

Recht herzlichen Dank und noch nen schönen Abend.

mstauber · Beitragvon **mstauber** » Di 22. Okt 2002, 02:36

Hi Dirk,

Das Downloadscript (downloads.php):
<?php
$MyFile = $_REQUEST["File"];
$MyDownloadFile = $_SERVER["DOCUMENT_ROOT"] . "/_download/" . $MyFile;
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename="$MyFile"");
readfile($MyDownloadFile);
?>

Sorry, aber als Programmierer bekomme ich bei sowas den Horror.

Szenario:

http://<sitename>/downloads.php?MyFile=../../../etc/passwd

Na, klingelts?

Mit dem tollen Download-Script kann jeder Web-Benutzer an alle Files ran, auf die PHP Lesezugriff hat. Mit einer Zeile mehr wäre das nicht passiert:

<?php
$MyFile = $_REQUEST["File"];

if (!ereg('^[^./][^/]*$', $MyFile)) die('Sorry. We dont serve that kind.'); //die, do not process

$MyDownloadFile = $_SERVER["DOCUMENT_ROOT"] . "/_download/" . $MyFile;
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename="$MyFile"");
readfile($MyDownloadFile);
?>

<font size=-1>[ Diese Nachricht wurde ge<auml;ndert von: mstauber am 2002-10-22 02:38 ]</font>

bolleone · Beitragvon **bolleone** » Di 25. Jan 2005, 14:26

Dirk Einecke hat geschrieben:Hi.

So - hier mal die Kurzfassung:

Das Downloadscript (downloads.php):
<?php
$MyFile = $_REQUEST["File"];
$MyDownloadFile = $_SERVER["DOCUMENT_ROOT"] . "/_download/" . $MyFile;
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename="$MyFile"");
readfile($MyDownloadFile);
?>

Der Aufruf:
<a href="downloads.php?File=foo.zip">Download</a>
Damit wird die Datei "www.doamin.de/_download/foo.zip" zum Download angeboten, ohne das der User sieht, wo die Datei erkommt.
Hilft Ihnen das weiter?

Zum Nachlesen:
http://www.we-devedge.de/Stuff/Beispiel ... ?Anker=142

Hallo Herr Einecke,

der Link http://www.we-devedge.de/Stuff/Beispiel ... ?Anker=142 tuts leider nicht mehr und ich könnte diese Funktion jetzt gerade sehr gut mal gebrauchen

Denn mir stellt sich gerade die Frage, wie ich dieses Skript mit den Links in einer Linklist oder in einer Listview einbauen kann...

webEdition - Forum

Kein Schutz der Dateien eines Downloadbereichs

Wer ist online?