[OFF] Proteger arquivos para acesso direto via URL
1,628 views
Skip to first unread message
Ivan
Aug 8, 2011, 10:42:51 PM8/8/11
to Zend Framework Brasil
Olá!
Necessito guardar arquivos .pdf e .rar no ftp e acessá-los apenas via
script logado no sistema.
Deixei dentro da /public_html/arquivos/ e coloquei um .htaccess com o
seguinte conteúdo:
Options -Indexes
Options +FollowSymlinks
deny from all
Funcionou bem bloqueando o acesso direto pela URL e liberando apenas
via script com:
header("Content-Disposition: attachment;
filename=".basename($arquivo)); ... (mais uma parte do código)
Gostaria de saber dos colegas se é seguro desta forma, ou se
recomendam algo diferenciado...
Os arquivos precisam ser upados pelo administrador do site.
Grato,
Ivan
Necessito guardar arquivos .pdf e .rar no ftp e acessá-los apenas via
script logado no sistema.
Deixei dentro da /public_html/arquivos/ e coloquei um .htaccess com o
seguinte conteúdo:
Options -Indexes
Options +FollowSymlinks
deny from all
Funcionou bem bloqueando o acesso direto pela URL e liberando apenas
via script com:
header("Content-Disposition: attachment;
filename=".basename($arquivo)); ... (mais uma parte do código)
Gostaria de saber dos colegas se é seguro desta forma, ou se
recomendam algo diferenciado...
Os arquivos precisam ser upados pelo administrador do site.
Grato,
Ivan
Tiago Davi
Aug 8, 2011, 11:41:10 PM8/8/11
to zfbr...@googlegroups.com
Tira da public_html e coloca em um diretório abaixo fora do acesso do servidor.
--
Atenciosamente,
Pode remover o .htaccess pois agora você terá certeza que ninguém vai conseguir acessar de forma alguma.
E manda fazer o download pelo PHP da mesma forma mas mandando buscar nesse novo caminho.
O upload a mesma coisa..
Espero ter ajudado.
--
Atenciosamente,
Felipe Duardo
Aug 9, 2011, 7:17:24 AM8/9/11
to zfbr...@googlegroups.com
.htaccess não rola?
--
--
Essa mensagem faz parte do grupo "zfbrasil" no Google Groups.
Para escrever neste grupo, envie um email para zfbr...@googlegroups.com
Para se desligar do grupo, envie um email para zfbrasil-u...@googlegroups.com
Mais informações, visite o grupo em http://groups.google.com/group/zfbrasil?hl=pt-BR
--
Felipe Duardo
Tiago Davi
Aug 9, 2011, 9:05:25 AM8/9/11
to zfbr...@googlegroups.com
Rola sim, mas colocar fora do public_html eu particularmente encaro como uma solução melhor.
Wesley Willians
Aug 9, 2011, 4:17:43 PM8/9/11
to zfbr...@googlegroups.com
Também concordo com o Tiago.
Pode parecer algo bobo, mas já vi situações que a hospedagem fez manutenção no server e desabilitou o rewrite. Ou seja, tudo ficou disponível. Acho que sempre vale mais a pena deixar fora do document root.
Agora lembrando sempre que trabalhart com .htaccess não é pecado, nem deselegante e MUITO menos errado.
--
@wesleywillians
www.schoolofnet.com
--
@wesleywillians
www.schoolofnet.com
2011/8/9 Tiago Davi <tiago....@gmail.com>
Ramon Ornelas
Aug 9, 2011, 8:11:41 PM8/9/11
to zfbr...@googlegroups.com
Sim, mas é custo que se paga dependendo da hieraquia de pastas já que a resolução é recursiva ;).
Att,
Jonathan Cardoso
Aug 10, 2011, 8:22:44 AM8/10/11
to Zend Framework Brasil
Quando é realmente necessário proteger o arquivo, eu crio ele
diretamente dentro da pasta da aplicação (mais especificadamente data/
assets) e crio um controller apenas para tratar de recuperar esses
arquivos, verificando permissões, autenticando o usuário antes, etc.
On 9 ago, 21:11, Ramon Ornelas <ramon.orn...@gmail.com> wrote:
> Sim, mas é custo que se paga dependendo da hieraquia de pastas já que a
> resolução é recursiva ;).
>
> Att,
> Ramon Henrique Ornelas
>
> 2011/8/9 Wesley Willians <wesleywilli...@gmail.com>
diretamente dentro da pasta da aplicação (mais especificadamente data/
assets) e crio um controller apenas para tratar de recuperar esses
arquivos, verificando permissões, autenticando o usuário antes, etc.
On 9 ago, 21:11, Ramon Ornelas <ramon.orn...@gmail.com> wrote:
> Sim, mas é custo que se paga dependendo da hieraquia de pastas já que a
> resolução é recursiva ;).
>
> Att,
> Ramon Henrique Ornelas
>
>
>
>
>
>
>
>
> > Também concordo com o Tiago.
> > Pode parecer algo bobo, mas já vi situações que a hospedagem fez manutenção
> > no server e desabilitou o rewrite. Ou seja, tudo ficou disponível. Acho que
> > sempre vale mais a pena deixar fora do document root.
>
> > Agora lembrando sempre que trabalhart com .htaccess não é pecado, nem
> > deselegante e MUITO menos errado.
>
> > --
> > @wesleywillians
> >www.schoolofnet.com
>
> > 2011/8/9 Tiago Davi <tiago.asp....@gmail.com>
>
>
>
>
>
>
> > Também concordo com o Tiago.
> > Pode parecer algo bobo, mas já vi situações que a hospedagem fez manutenção
> > no server e desabilitou o rewrite. Ou seja, tudo ficou disponível. Acho que
> > sempre vale mais a pena deixar fora do document root.
>
> > Agora lembrando sempre que trabalhart com .htaccess não é pecado, nem
> > deselegante e MUITO menos errado.
>
> > --
> > @wesleywillians
> >www.schoolofnet.com
>
Reply all
Reply to author
Forward
0 new messages