Uploads mappa védelme
Bizonyos bővítmények, illetve néhány szerver konfiguráció megköveteli, hogy a feltöltési könyvtár jogosultságát 777-re állítsd, azaz bárki tudja írni. Erre adunk most egy megoldást.
Először létre kell hoznod egy .htaccess fájt, aminek a helye majd az /Uploads mappában lesz.
A fájlt töltsd meg ezzel a tartalommal:
# secure uploads directory
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|tif|tiff)$">
Order Deny,Allow
Allow from all
</FilesMatch>
Ez a kód a felsoroltakon kívül minden más fájlhoz hozzáférést tilt. Ha további fájltípusokat is engedélyezni akarsz, szerkeszd a fájltípus listát, pl.
(jpg|jpeg|jpe|gif|png|tif|tiff|zip|mp3|mov)
Vagy ugyanígy ki is szedhetsz belőle kiterjesztéseket.
Az elkészült .htaccess fájlt töltsd fel az /uploads mappába.
Ugyanezt a technikát alkalmazhatod az upgrade vagy a backup könyvtáraidhoz is. Ezzel megakadályozhatod, hogy futtatható (php, js) állományokat juttassanak be.
Zoli
2013. 01 15. @ 11:02
Kedves Andrea!
Nagyon jó megoldást nyújtasz, azonban sajnos ez nem elégíti ki az én vágyaimat, mert jelenleg az általam nem publikálásra szánt fájlokat is meg lehet tekinteni direkt linkkel. Én azt szeretném, hogy csak a bejelentkezett felhasználók tudják ezeket a fájlokat megtekinteni.
Van valami elképzelésed, esetleg egy plugin?
Köszönettel, Zoli
Andrea
2013. 01 15. @ 17:19
Igen, többnyire ha valaki ismeri a fájl pontos url címét, az meg is tudja nézni.
Akad néhány fajta megoldás.
Pl. membership bővítmény, ahol szabályozhatod, hogy milyen usernek milyen fájlok megtekintéséhez legyen joga. Részletesen lehet szabályozni, hogy mit nézhessen meg a nem bejelentkezett látogató.
De a következő bejegyzésben írok egy részletesebb útmutatót, lehet, hogy nem ma, mert egy-két dolgot le is kell tesztelnem, hogy működik-e 3.5-tel.
Zoli
2013. 01 17. @ 15:28
Kedves Andrea!
Köszönöm válaszodat!
Ehhez hasonló plugint használtam.
Ez is nagyon jó, sokkal részletesebben be lehet állítani a jogosultságokat, azonban nem tudom a direkt URLeket nem hozzáférhetővé tenni a be nem jelentkezett felhasználóktól…
Várom a részletesebb útmutatót, ahol erre is fény derül 🙂
Hálás köszönettel, Zoli
Zoli
2013. 01 17. @ 16:33
Kedves Andrea!
Az motoszkál a fejemben, hogy meglehet-e úgy oldani, hogyha a védett fájlokat más könyvtárba helyezem, majd ezek letöltését a szerver kezdeményezné hasonlóan, ahogy a https://www.filestofriends.com fájlmegosztó oldalon van megoldva? Feltöltöttem egy képet, hogy lásd a működését https://www.filestofriends.com/share.aspx?code=adeb8d15eb2a45bea564f88dc4a0f23c&v=VgQBd5ojloI=
Andrea
2013. 01 18. @ 2:10
Ez utóbbi megoldáshoz nem kell külön könyvtárazni.
Pl. a download monitor bővítményben egyedi letöltési url-eket lehet beállítani és külön lehet benne szabályozni, hogy a fájlt csak regisztrált felhasználó tölthesse le egyesével és globálisan is.