✔ htaccess Bilder schützen vs. PHP geschützter Bereich

[morgenstern]

hallo!

Ich habe eine sog. Kundenzone, die mit mit PHP/mySQL und Sessions gestaltet wurde.

Wenn der User sich eingeloggt hat und die bestimmten Rechte besitzt kann er sich Bilder, pdfs usw. ansehen bzw. herunterladen.

Nun möchte ich jedoch gewisse Ordner so sperren, dass man, auch wenn man den direkten Link kennt, sich das Bild/pdf nicht ansehen kann.

Bei den PDF-Dokumenten läuft es zurzeit so, dass sie direkt (per header Verfahren) runtergeladen werden, also nicht im Browser angezeigt werden - somit habe ich den Ordner "pdf" einfach sperren können per htaccess.

Wie mache ich dies aber am besten mit einem Ordner, der Bilder enthält?

Wenn ich diesen sperre, kann ich diese Bilder auch nicht im Browser betrachten - dies ist aber Vorraussetzung, da ich auch mit Image Maps arbeiten muss.

Klappt dies mit einem Referrer? Wie würde dies für so eine URL aussehen - http://www.dieseite.eu/kundenzone/

Wie sicher ist das? Welche Alternativen blieben mir übrig?

Danke

mfg

 

[Gumbo]

Das ist effektiv nur möglich, indem du eine Skript als eine Art Mittelsmann einsetzt, das die Sitzung prüft und dann den Dateiinhalt der angefragten Datei ausliefert.

 

[morgenstern]

Nur wie kann ich per PHP auf Bilder zugreifen, die mit htaccess geschützt sind (ordner allow deny).

Welches Mittel würdert ihr/du mir empfehlen?

Danke.

 

[Gumbo]

PHP kann immer noch über das Dateisystem auf die Dateien zugreifen.

 

[morgenstern]

Also ich habe den ordner mit deny all gesperrt. Das Bild rufe ich so auf:

<img src="test.php?id=1">

Die test.php sieht so aus:

$fp = fopen("maps/".$_GET["id"].".jpg","r");
header("Content-Type: image/jpeg");
imagejpeg(fpassthru($fp),"",100);

Dies klappt auch, Bilder werden angezeigt und man kann nun die Bilder nicht mehr direkt im Browser anzeigen aber:

Wenn ich nun http://www.dieurl.de/test.php?id=1 eingebe sehe ich das Bild.

Ich darf ja bei der test.php keine if schleife oder sonstiges benutzen oder? Wie kann ich nun diese Datei schützen, damit nur User mit gültiger Session darauf zugreifen können?

 

[Gumbo]

Ich darf ja bei der test.php keine if schleife oder sonstiges benutzen oder?

Wieso nicht? Das ist ein ganz normales PHP-Skript.

 

[morgenstern]

Ok, war ein Denkfehler meinerseits bzgl. HEADER - , sorry

klappt bestens, danke