Hallo,
leider habe ich schon wieder ein Problem:
Ich habe eine personalisierte Download-Seite. Nachdem sich ein Benutzer angemeldet hat sieht er seine persönlichen Downloads. So weit so gut.
Da die Downloads aber aus dem _data-Verzeichnis kommen und nicht aus der Datenbank gelangt jeder, der den Pfad und Dateinamen der Datei kennt auch an die Datei.
Wie kann ich das lösen, ohne die Dateien in einem anderem Ordner ablegen zu müssen, der mittels htaccess gesperrt ist und außerdem ein zusätzliches Login vom Anwender fordern würde.
Außerdem hätte ich dann für die Verwaltung die doppelte Arbeit.
Gruß
Peter
Download-Rechte
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Das kannst Du mit ConPresso (noch) nicht lösen. Die Offenheit des _data-Verzeichnisses ist ein bekanntes Problem bei ConPresso und ich darf Steffen Schöne aus dem Wiki mal zitieren:
Wobei ich "oder so" ernst nehmen würde...Steffen Schöne hat geschrieben:Bei uns steht für die kommende Version (4.1 oder so) eine Sache "Medien-Verwaltung" auf der Liste. Dabei geht es darum, den ja mit einigen bekannten Schwächen (s.o.) behafteten Bereich "Dateien" in ConPresso ordentlich aufzubohren.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Das Problem ist hier allerdings nicht nur ConPresso.
Sobald die Daten in einem per Web erreichbaren Verzeichnis liegen, koennen Leute darauf zugreifen - wenn es nicht durch die Webserverkonfiguration oder per .htaccess verboten wird. Da kann ConPresso leider auch nichts dran aendern.
Die wenigsten Hoster erlauben eine Datenablage in einem anderen Ordner, der nicht per http erreichbar ist.
Das Problem in ConPresso ist, dass man den _data Ordner nicht einfach "blocken" kann, weil dann auch die hochgeladenen Grafiken nicht angezeigt werden.
Ich koennte mir aber z.B. folgendes Scenario vorstellen:
Per .htaccess wird eine passende Rewrite-Regel vorgegeben, die alle Dateien, die mit "protected_" (oder sonstwas) anfangen, ueber eine download.php umleiten.
Diese download.php koennte dann die Session pruefen und bei Erfolg die Datei an den Benutzer senden. Andernfalls wird eine Fehlermeldung generiert.
Leider ist auch das nicht bei allen Hostern machbar. Aber vielleicht reicht dieser Ansatz fuer diejenigen, die etwas in diese Richtung vorhaben.
Balu
Sobald die Daten in einem per Web erreichbaren Verzeichnis liegen, koennen Leute darauf zugreifen - wenn es nicht durch die Webserverkonfiguration oder per .htaccess verboten wird. Da kann ConPresso leider auch nichts dran aendern.
Die wenigsten Hoster erlauben eine Datenablage in einem anderen Ordner, der nicht per http erreichbar ist.
Das Problem in ConPresso ist, dass man den _data Ordner nicht einfach "blocken" kann, weil dann auch die hochgeladenen Grafiken nicht angezeigt werden.
Ich koennte mir aber z.B. folgendes Scenario vorstellen:
Per .htaccess wird eine passende Rewrite-Regel vorgegeben, die alle Dateien, die mit "protected_" (oder sonstwas) anfangen, ueber eine download.php umleiten.
Diese download.php koennte dann die Session pruefen und bei Erfolg die Datei an den Benutzer senden. Andernfalls wird eine Fehlermeldung generiert.
Leider ist auch das nicht bei allen Hostern machbar. Aber vielleicht reicht dieser Ansatz fuer diejenigen, die etwas in diese Richtung vorhaben.
Balu