Acceso publico a archivo que deberían ser privados

andreiya · #1 (**permalink**) 25/08/2014, 17:51

Hola a todos, tengo una duda que no termino de encontrar la solución en internet, tal vez porque no exista.

He creado una web de aprendizaje que tiene un acceso público y otro privado. El privado tiene acceso a unos Pdf´s, que están alojados en una carpeta (llamada pdf) de mi servidor.
Supongamos que la dirección de mi web es:

www.ejemplo.es

Si accedo al perfil privado sin estar registrado, o sea un perfil público, no se mostraría nada porque detecta que no está la cookie de usuario registrado y redirige al perfil público. Ejemplo:

www.ejemplo.es/pdf.php

Pero si hiciese esto:

www.ejemplo.es/pdf/1.pdf

Me descargaría el pdf sin estar registrado ya que no hay comprobación de la cookie de sesión.
¿Qué se os ocurre que puedo hacer para proteger esos datos privados?

Triby · #2 (**permalink**) 25/08/2014, 23:00

Lo primero sería evitar revelar la ruta del PDF, mucho mejor si queda fuera de la ruta web.

Normalmente te asignan un espacio en el hosting para tu web, incluyendo servicios (correos, estadísticas, etc.), digamos que es algo como /home/usuario y dentro encuentras directorios:

- mail
- tmp
- public_html

En public_html es donde se guardan todos los documentos de tu web y sería conveniente crear la carpeta pdf en el mismo nivel, quedando automáticamente inaccesible desde URL

Después solo necesitas hacer un script de descarga donde verifiques que el usuario inició sesión y después envías el PDF al navegador usando readfile()

andreiya · #3 (**permalink**) 26/08/2014, 08:22

Cita:

Iniciado por Triby

Lo primero sería evitar revelar la ruta del PDF, mucho mejor si queda fuera de la ruta web.

Normalmente te asignan un espacio en el hosting para tu web, incluyendo servicios (correos, estadísticas, etc.), digamos que es algo como /home/usuario y dentro encuentras directorios:

- mail
- tmp
- public_html

En public_html es donde se guardan todos los documentos de tu web y sería conveniente crear la carpeta pdf en el mismo nivel, quedando automáticamente inaccesible desde URL

Después solo necesitas hacer un script de descarga donde verifiques que el usuario inició sesión y después envías el PDF al navegador usando readfile()

Gracias por contestar, Triby.
Efectivamente tengo los directorios siguientes:

-log
-public_ftp
-etc
- mail
- tmp
- public_html

Mi archivos php, js, css los tengo metidos todos en public_html. No sé si será lo más correcto, pero como tengo sólo 20 archivos lo dejé así.

Dentro de public_html creé las carpetas:

IMAGES, para las imagenes de mi web y
ARCHIVOS, para los pdf.

Está claro que la ruta de los archivos no se ve en ningún lado de mi web, salvo el que está registrado que sí puede verla. Además creé varios tipos de registro, con lo cual uno registrado de nivel 1 no puede descargar lo de nivel 2 ni viceversa.
Lo que pasa es que todo esto no me vale para nada si cualquier persona pone la ruta en el navegador directamente, bien porque le de por probar y acierte o bien porque la sepa y quiera descargar sin logearse.

Como no entiendo tu respuesta te he puesto el esquema completo de mi web a ver si me explico mejor así. Un besito enorme.

ocp001a · #4 (**permalink**) 26/08/2014, 12:53

Es simple, todo lo que esté fuera de tu carpeta public_html no se podrá acceder a menos que hagas un script que lo permita, por ejemplo, podrías crear una carpeta "files" en tu esquema:

-log
-public_ftp
-etc
-files
- mail
- tmp
- public_html

Y para acceder a lo contenido en esta carpeta debes crear un script, por ejemplo:
descargas.php

Código PHP:

Ver original<?php
//código para validar si el usuario tiene o no permiso-------
 
$file="/home/tuusuario/files/archivo.pdf";
 
if($usuario_valido){
   header('Content-type: application/octet-stream');//header para indicar la descarga del archivo
   header("Content-length: " . filesize($file)); //header para indicar tamaño del archivo
   header('Pragma: no-cache');//que no cachee el archivo
   readfile($file);//Mandamos el contenido del archivo
}

Puedes mejorar el esquema, por ejemplo creando enlaces temporales para que no puedan descargar los archivos después de cierto tiempo, y otros tipos de validaciones.

andreiya · #5 (**permalink**) 26/08/2014, 14:48

Cita:

Iniciado por ocp001a

Es simple, todo lo que esté fuera de tu carpeta public_html no se podrá acceder a menos que hagas un script que lo permita, por ejemplo, podrías crear una carpeta "files" en tu esquema:

-log
-public_ftp
-etc
-files
- mail
- tmp
- public_html

Y para acceder a lo contenido en esta carpeta debes crear un script, por ejemplo:
descargas.php

Código PHP:

Ver original<?php
//código para validar si el usuario tiene o no permiso-------
 
$file="/home/tuusuario/files/archivo.pdf";
 
if($usuario_valido){
   header('Content-type: application/octet-stream');//header para indicar la descarga del archivo
   header("Content-length: " . filesize($file)); //header para indicar tamaño del archivo
   header('Pragma: no-cache');//que no cachee el archivo
   readfile($file);//Mandamos el contenido del archivo
}

Puedes mejorar el esquema, por ejemplo creando enlaces temporales para que no puedan descargar los archivos después de cierto tiempo, y otros tipos de validaciones.

Gracias, ocp001a tanto por tu pieza de código como por tu explicación e ideas nuevas que me has dado. Es increible lo que se puede ir haciendo poco a poco mientras se aprende. Pondré en práctica la solución este fin de semana y postearé el resultado. Un beso