.dsy:it. - [WEB] Immagini e password

.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [WEB] Immagini e password (http://www.dsy.it/forum/showthread.php?threadid=9982)

Posted by Hamelin on 03-04-2004 18:23:

[WEB] Immagini e password

Ho protetto alcune pagine del mio sito con una password (tramite un paio di righe in php)... per rendere private delle fotogallery... ora, il mio problema è: come faccio ad impedire che qualcuno, conoscendo il percorso esatto dell'immagine sul server, la possa vedere comunque, infischiandosene della password??

__________________
Bjarne Stroustrup: "I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone."
Andrew S. Tanenbaum: "Never underestimate the bandwidth of a station wagon full of tapes hurtling down the highway."
Edsger Dijkstra: "Computer Science is no more about computers than astronomy is about telescopes."
Robert Firth: "One of the main causes of the fall of the Roman Empire was that, lacking zero, they had no way to indicate successful termination of their C programs."
Donald Knuth: "A mathematical formula should never be 'owned' by anybody! Mathematics belong to God."

Posted by 0m4r on 03-04-2004 19:05:

non so come funzioni php, ma credo tu debba usare le sessioni.
Piu o meno il procedimento potrebbe essere questo:
nella pagina di login fai inserire usr e pwd, se sonoi corrette memorizzi nella variabile di sessione che l'utente è loggato. A questo punto, in ogni nuva pagina in cui l'utente si dirigerà dovrai fare un controllo che verifichi se la variabile di sessione è valida oppure no, se non lo è neghi l'accesso altrimenti lasci che tutto funzioni...non sono stato chiarissimo nè?

__________________
http://www.twitter.com/0m4r

Posted by unidavide on 03-04-2004 19:17:

Originally posted by 0m4r
non so come funzioni php, ma credo tu debba usare le sessioni.
Piu o meno il procedimento potrebbe essere questo:
nella pagina di login fai inserire usr e pwd, se sonoi corrette memorizzi nella variabile di sessione che l'utente è loggato. A questo punto, in ogni nuva pagina in cui l'utente si dirigerà dovrai fare un controllo che verifichi se la variabile di sessione è valida oppure no, se non lo è neghi l'accesso altrimenti lasci che tutto funzioni...non sono stato chiarissimo nè?

non penso che questa soluzione funzioni, se uno sa cmq l'indirizzo dell'immagine riesce a vederela lo stesso, una soluzione che mi viene in mente è questa:
metti le immagine in una directory che non sta sotto la document_root o che cmq l'accesso sia negato con
Deny from all
dopo fai un file php a cui passi il nome dell'immagine

visualizza.php?img=foto.jpg
con dentro:

header('Content-type: image/jpg');
readfile('PERCORSO FILE SYSTEM'.$_GET['img']);

piu o meno dovrebbe essere cosi, in questo modo è php che prende l'immagine dalla cartella a cui uno non ha accesso e la manda in output

magari c'è anche una soluzione piu semplice

Posted by recoil on 03-04-2004 19:33:

puoi sempre mettere l'immagine in un DB in modo che non esista proprio il percorso

non so quanto sia buona sta idea però...

Posted by Rocco.Li on 03-04-2004 21:47:

La soluzione di Unidavide e' la soluzione piu' semplice, la pagina PHP/ASP/JSP (come vuoi) verifica la validita' della variabile di sessione impostata al login, visualizzando l'immagine (ergo genera uno stream http verso il client dell'immagine letta da disco) oppure reindirizza l'utente verso una pagina di errore.

nelle pagine che hanno il tag img dovrai inserire:

<img src="getimage.asp?file=pippo.jpg" />

ovvero non il percorso assoluto dell'immagine ma il richiamo alla pagina di visualizzazione.

__________________
Alcuni uomini vedono le cose come sono e dicono: << Perche' ? >>
Io sogno le cose come non sono mai state e dico: << Perche' No ? >>
George Barnard Shaw, Commediografo.

"non preoccuparti troppo, comunque vada la vita, non ne uscirai vivo !" - anonimo

Posted by mrcnet on 05-04-2004 08:35:

Originally posted by recoil
puoi sempre mettere l'immagine in un DB in modo che non esista proprio il percorso

non so quanto sia buona sta idea però...

esatto.. l'idea diventa buona nel momento in cui encodizzi l'immagine e la richiami da database.. poi dipende anche da che immagini sono.. altrimenti la soluzione piu semplice in questi casi è far stampare in automatico il tuo logo sull'immagine

__________________
www.mrcnetwork.it

Posted by Hamelin on 05-04-2004 10:32:

Grazie dell'aiuto... domandina da ignorante: come faccio a vietare l'accesso ad una cartella (il "deny from all" di cui parla unidavide)?

Grazie a tutti!

Posted by DeepBlue on 05-04-2004 11:17:

con .htaccess

__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~

Posted by Hamelin on 05-04-2004 21:34:

...mi sento sempre più ignorante...

Sarebbe a dire?

Posted by unidavide on 05-04-2004 22:22:

Originally posted by Hamelin
...mi sento sempre più ignorante...

Sarebbe a dire?

devi creare un file di testo nella cartella dove ci sono le immagine che si deve chiamare .htaccess e dentro ci devi scrivere
Deny from all

prova a entrare in quella cartella e ti dovrebbe dare un errore dicendo che non hai i permessi, funziona solo se apache è stato configurato per considerare i file .htaccess presenti nelle directory

Posted by Renaulto on 06-04-2004 00:22:

http://httpd.apache.org/docs/howto/htaccess.html

All times are GMT. The time now is 23:40.

Show all 11 posts from this thread on one page