evitar descargas de archivos si no se ha iniciado sesión

manuelf0710 · #1 (**permalink**) 16/10/2013, 17:58

Buenas amigos resulta que tengo un problema con la descarga de archivos, necesito validar que un archivo se descargue solo si el usuario que lo descarga a iniciado sesión dentro de la pagina, el problema es que no se debe permitir por ulr directa la descarga del archivo como dije antes ejemplo: www.paginaweb.com/archivos/archivo.txt si no ha iniciado sesion, habia intentado buscar que no listara los archivos configurando el .htaccess del servidor con Options All -Indexes pero el problema es que no deja descargar el archivo desde la misma pagina.

Triby · #2 (**permalink**) 16/10/2013, 19:13

Esa configuración del .htaccess es correcta, ahora sólo te falta tener un manejador de descarga donde recibas el nombre del archivo como parámetro, ejemplo:

descargar.php?archivo=archivo.txt

Un ejemplo sencillo:

Código PHP:

Ver original<?php
session_start();
// Aquí verificas que el usuario haya iniciado sesión
 
// Obtienes el nombre del archivo a descargar
$archivo = (isset($_GET['archivo'])) ? $_GET['archivo'] : '';
 
if($archivo == '') {
       die('Petición inválida.');
}
 
// Debes hacer algunas validaciones para no permitir
// que se descarguen cosas indebidas

Para lo demás, sigue esta búsqueda: https://www.google.com.mx/#q=site:fo...rga+de+archivo

manuelf0710 · #3 (**permalink**) 16/10/2013, 19:57

bueno tienes razón en lo de un manejador de descarga pero se presentaría el problema de cuando acceden directo por una url ejemplo www.pagina.com/archivos/archivo.xls lo permitiria descargar, como los buscadores han detectado esos documentos lo colocan en los resultados permitiendo asi ser descargados una solución es que google no indexe carpetas pero aun asi la vulnerabilidad quedaria ya que cualquier persona puede descargar archivos accediendo la ruta del servidor directamente, por eso es que estoy buscando alguna manera de que cuando se acceda determinada carpeta haya alguna forma de comprobar el inicio de sesión antes de realizar la descarga llame a un archivo php desde donde pueda evitar que el archivo se descargue, o que en su defecto solo permita peticiones de descarga realizadas desde el mismo dominio.

Triby · #4 (**permalink**) 16/10/2013, 20:23

Cita:

Iniciado por manuelf0710

... habia intentado buscar que no listara los archivos configurando el .htaccess del servidor con Options All -Indexes pero el problema es que no deja descargar el archivo desde la misma pagina.

Cita:

Iniciado por Triby

Esa configuración del .htaccess es correcta, ahora sólo te falta tener un manejador de descarga donde recibas el nombre del archivo como parámetro...

Cita:

Iniciado por manuelf0710

bueno tienes razón en lo de un manejador de descarga pero se presentaría el problema de cuando acceden directo por una url ejemplo www.pagina.com/archivos/archivo.xls lo permitiria descargar...

No se permitiría la descarga directa, configurando bien tu .htaccess no se listarán si descargarán archivos de esa carpeta. Eso lo controlas con el manejador de descargas que lee el archivo y lo envía al navegador.