Wie schütze ich den Inhalt eines Odners vor direktem Zugriff (php)?

In einer Session habe ich Zugriff auf einen mit Passwort geschützen Bereich. Von dort greife ich auf einen Ordner mit Bildern und pfd-Dateien zu.

Jetzt möchte ich verhindern, das ein direkter Zugriff auf diese Dateien möglich ist, wenn man nicht eingeloggt ist.

Es soll nicht möglich sein, ohne eingeloggt (in der session) zu sein, ein Bild direkt aufzurufen. Z.B. durch Eingabe von: http://meineSeite.php/Ordner/Bilddatei.jpg

Würde mich über eure Hilfe freuen.

2 Antworten

threadi

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Webseite

15.01.2022, 13:05

Leg die Bilder in einem per Web nicht erreichbaren Ordner ab - also außerhalb des Web-Verzeichnisses. Dann verlinkst Du die Bilder ausschließlich über eine PHP-Datei die den Login-Status prüft und gibst die Bilder dann über diese PHP-Datei aus.

Woher ich das weiß:Berufserfahrung

dieTrolle

Beitragsersteller

15.01.2022, 13:06

Und wie macht man das?

threadi

15.01.2022, 13:13

@dieTrolle

Wenn Du so ein Bild einbetten willst sähe der HTML-Code z.B. so aus:

<img src="bild.php?dateiname=example.jpg" alt="">

In bild.php ermittelst Du dann den übergebenen Dateinamen, öffnest die Datei und gibst sie aus. Ganz einfaches Beispiel:

<?php
if( checkLogin() ) {
 header("Content-type: image/jpeg");
 echo file_get_contents("/var/www/pfad/zu/bildern/".$_REQUEST["dateiname"]);
}

Wie gesagt: nur ein grobes Beispiel was Du abhängig von deinem PHP-Aufbau adaptieren müsstest. Achte auch auf den korrekten Content-type bei der Ausgabe der Datei.

Destranix

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, programmieren

15.01.2022, 13:07

Du kapselst den Bereich ab, beispielsweise mittels einer passenden .htaccess-Datei.

Über diese sollte sich denke ich auch etwas implementieren lassen, um den Zugriff unter bestimmten Umständen zu gewähren.
Falls nicht, dann kannst du etwas tricksen und eine PHP-Datei erstellen, in der du einen Passwort-Schutz implementierst und ann die Files mittels read_file und passend gesetzten Headern an den Clienten zurückliefert.

Ähnliche Beiträge

PHP: Direkten Zugriff auf Seite verhindern?

Moin zusammen,

ich will einen direkten Zugriff auf meine home.php verhindern bzw. man soll nur über die login.php Zugriff darauf bekommen. Ich weiß, dass man dazu Cookies bzw. Session-Cookies verwenden kann. Aber gibt es da noch andere Wege?

...zum Beitrag

PHP Seite nur anzeigen wenn man eingeloggt ist

Hallo, kann ich Seiten mit einem php-login schützen? Also wenn ich die Seite direkt anzeigen will und nicht eingeloggt bin, soll sie nicht angezeigt werden. Wenn es möglich wäre ohne, dass ich den ganzen Inhalt der Seite in eine Klammer ect. nehmen muss. Wäre es auch noch möglich die Benutzer direkt im php-dokument zu speichern (sind nur 2)? Danke

...zum Beitrag

[jQuery AJAX] echo mit HTML Content von PHP Datei ausgeben?

Okay, die Frage ist evtl ein bisschen kompliziert. Deshalb beschreibe ich das anhand eines Beispiels. Zuerst meine Dateien:

PHP (submit.php)

<?php
 $mail = $_GET['mail']; if(filter_var($mail, FILTER_VALIDATE_EMAIL)) { echo "<div role=\"alert\">Ungültige E-Mail</div>"; } else { echo "<div role=\"alert\">Gültige E-Mail</div>"; }

?>

HTML (index.html)

<form id="myForm">
  <input type="email" name="mail" id="mail" placeholder="E-Mail Adresse"/>
  <input type="submit" name="check" id="check" value="Senden"/>
</form>
<script src="http://code.jquery.com/jquery-1.9.1.js"/> <script> $(function () { $('form').on('submit', function (e) { e.preventDefault(); $.ajax({ type: 'post', url: 'submit.php', data: $('form').serialize(),   success: function() {    //echo "Gültige E-Mail    } error: function() { //echo "Ungültige E-Mail" } }); }); }); </script>

Beschreibung:

Sobald das Formular abgesendet wurde, wird die E-Mail an die submit.php gesendet. In dieser wird überprüft, ob die E-Mail gültig ist und gibt dann das Ergebnis in Form von HTML-Code zurück.

Die Lösung mit alert will ich nicht. Es soll unterhalb der Form das Ergebnis stehen.

Wenn ich mit PHP

echo "<div role=\"alert\">Gültige E-Mail</div>";

ausgebe, dann steht das auch direkt in HTML dort (also nicht als PlainText).

Wie ist es also möglich, das Ergebnis der submit.php zu bekommen und in der index.html auszugeben?

Vielen Dank im Voraus!

...zum Beitrag

PHP-Datei aus einer anderen PHP-Datei ausführen, aber ohne include möglich?

...zum Beitrag

Css datei not found 404?

Hey,

ich bin gerade dabei eine kleine Webseite mit PHP zu erstellen (MNit Xampp und visual studio code). Ich habe meine Webseite in mehreren Dateien aufgeteilt, damit ich einen besseren Übersicht habe aber leider ist ein Fehler aufgetreten. Die css Dateien werden nicht geladen. Ich weiß nicht , woran es liegt denn die Pfaden zu den Dateien stimmen alle aber sie werden trotzdem nicht gefunden bzw. geladen und ausgeführt. Also die Seite ist dann nicht gestylt.

----------------header.php-----------------------------
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <link rel="stylesheet" href="../css/header.css">
    <link rel="stylesheet" href="../css/index.css">
    <title>Own Website</title>
</head>
<body>
    <header class="header">
        <div class="logo">
            <h2>Mode</h2>
        </div>
        <ul class="menu">
            <li class="items"><a href="#" class="links">Home</a></li>
            <li class="items"><a href="#" class="links">About</a></li>
            <li class="items"><a href="#" class="links">Service</a></li>
            <li class="items"><a href="#" class="links">Login</a></li>
        </ul>
    </header>
</body>
</html>

------------------------index.php-------------------
<?php include("./templates/header.php"); ?

---------------header.css--------------------

* {
    margin: 0;
    padding: 0;
}




body {

    background-color: #212121;

}

Meine Ordner Struktur

Die Fehlermeldung:

Diese Fehlermeldung bekomme ich, wenn ich mir den Seitenquelltext anschauen möchte und dann die css Datei aufmachen will. Die wird nicht gefunden.

Ich hoffe, dass ich das Problem halbwaches erklären konnte.

Danke im Voraus

...zum Beitrag

PHP Session nicht automatisch beenden?

Moin moin, ich bin gerade am Bau einer Website. Nun kann man sich bei mir registrieren und einloggen. Allerdings wird, wenn man die Seite schließt und nach paar minuten wieder öffnet, automatisch abgemeldet. Also die Session wurde automatisch beendet. Wie kann ich es nun so machen, dass die session dauerhaft bestehen bleibt, ohne dass ich z.B. beim Login Formular die Option "eingeloggt bleiben" hinzufügen muss?

Ich bedanke mich schon mal im Voraus

...zum Beitrag

Doppel-Login/Logout #PHP #SESSION?

Hallo,

ich habe folgendes Problem...

Auf einer Online-Plattform habe ich ein PHP/MySQL-Login... dieser funktioniert auch gut, jedoch muss ich mich 2x hintereinander Einloggen um die Plattform betreten zu können (bzw. 2x hintereinander Ausloggen um die SESSION korrekt zu beenden).

Einloggen -> Führt zur Capture-Seite "Der Inhalt ist nur für eingeloggte User"! (SESSION leer)
Einloggen -> Man ist korrekt eingeloggt (SESSION gesetzt)

Logout:

Ausloggen -> SESSION ist korrekt gelöscht
Refresh der Page, oder Tab schließen und nochmal öffnen -> SESSION ist wieder da

...ich komme nicht auf die Lösung...

Kann man eine Session "doppelt" starten? - nach meiner Recherche nicht... (Wo ist mein Denkfehler...?)

@logout.php - Diese sieht so aus:

unset($_SESSION['userID']);
$_SESSION = array();
session_unset();
if (ini_get("session.use_cookies")) { $params = session_get_cookie_params(); setcookie(session_name(), '', time() - 42000, $params["path"], $params["domain"], $params["secure"], $params["httponly"] ); }

session_destroy();

...zum Beitrag

Unterschied Index php/html

Hey was ist denn der Vorteil daran den Index als HTML Datei zu speichern? Denn es ist ja möglich sie auch als PHP Datei zu speichern,und php sieht man ja im Quelltext nicht.

...zum Beitrag

Wie kann ich die MySQL Daten (IP, Port, Username, Password, Datenbank) professionell sichern?

D. h. ohne, dass man ziemlich leicht die MySQL Daten auslesen kann. Ich weiß nicht ob meine bisherige Methode sicher ist (wäre super, ob mir das einer sagen könnte):

In einem Ordner eine PHP Datei namens dbconfig, in welcher folgender Code steht (MySQL Daten zensiert):

<?php
$con = mysqli_connect("IP/localhost","USERNAME","PASSWORD") or die("Fehler bei Datenbankverbindung.");
mysqli_select_db($con,'DATABASE');
?>

...zum Beitrag

Mit PHP in Ordner suchen?

Hallöchen zusammen,

ich hab eine Frage und zwar, möchte ich mit PHP in einem Ordner suchen.

Damit meine ich, dass ich in eine Suche () einen Text zb "Test" ein gebe und dann z.b aus dem Ordner "dateien" die Datei Test.txt ausgeben lasse. Geht das und wenn ja wie? Ich hab leider keine Ahnung. Danke schonmal für Antworten.

LG Checker0408

...zum Beitrag

PHP-Dateien im Browser ohne XAMPP?

Ich habe PHP installiert, XAMPP aber noch nicht, trotzdem habe ich in dem selben Ordner wo meine PHP-Dateien liegen die CMD geöffnet und "php -S localhost:8000" geschrieben und es geht trotzdem. Also brauche ich XAMPP nicht unbedingt?

...zum Beitrag

Unter Linux Php Dateien im Browser öffnen?

Guten Tag,

ich weiß sehr wohl das man PHP Dateien auf einem Apache2 Local Server laufen lassen kann. Das habe ich zwar aber ich möchte eine Php Datei im Browser öffnen welche nicht in dem var/www Ordner ist sondern im Dokumente Ordner. Ist das möglich?

...zum Beitrag

PHP (Apache2) Rechte zum Lesen von /var/log geben?

Guten Tag,

Wie kann ich Apache2 Rechte auf /var/log geben, sodass PHP auch direkt von neu erstellen Log-Dateien lesen kann?

Momentan kann PHP nur von manchen Log-Dateien lesen, bei den anderen erhalte ich Permission denied.

Auf dem Server läuft Debian 10.

...zum Beitrag

Wie kann ich bei HTML/JavaScript/PHP auslesen, wie viele Dateien sich in einem Ordner (auf dem Webserver) befinden?

Hallo,

die frage steht oben.

Vielen dank im voraus.

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen