Persoonlijke bestanden afschermen voor enkele gebruiker

Door ed van straaten op 13-02-2013 16:45

1.612 views

Waarschijnlijk denk ik helemaal in de verkeerde richting maar ik kom er niet uit.
De situatie is:
klant komt op persoonlijke pagina via login en zijn gegevens worden opgehaald uit database dmv het user_id.

Nu heb ik een map genaamd OFFERTES, daarin staan offertes op volgnummer, dus 0001, 0002 enz...
Dmv het user_id haal ik het bijbehorende offerte_id uit de database, het pad /bestandsnaam staat in mysql.

Dit werkt allemaal goed maar als je de url handmatig aanpast kun je dus de offerte van een ander inkijken.
Voor alle gegevens gebruik ik een simpele vergelijking: SELECT * where user_id = huidige gebruiker
zodat de juiste gegevens zichtbaar worden.

Ik zou niet weten hoe ik dit op een map moet toepassen, of ik zou een complete pdf in een record moeten kunnen opslaan (maar dat gaat niet lukken denk ik)

Misschien heeft iemand een beter idee?

Erwin H

13-02-2013 16:52 gewijzigd op 13-02-2013 16:52

De url naar het pdf in htaccess omschrijven naar een php bestand met het pdf bestand als parameter. In dat php script kan je dan de check zetten of de gebruiker het wel mag zien.

Dus www.jouwdomein.nl/bestand.pdf wordt bijvoorbeeld www.jouwdomein/check.php?file=bestand.pdf

De gebruiker zal nog steeds www.jouwdomein.nl/bestand.pdf in zijn browser zien staan en heeft dus geen weet van hoe jij checkt.

Frank Nietbelangrijk

13-02-2013 17:18 gewijzigd op 13-02-2013 17:27

de map offertes voorzien van een .htaccess bestand met daarin:

deny from all

Nu kan niemand meer vanaf afstand via de browser in de map komen.
Vervolgens laat je PHP het bestand aanbieden om te downloaden of te bekijken. Hiervoor zul je headers moeten gebruiken. en de file moeten output-ten:

<?php
header('Content-type: application/pdf');
readfile('offertes/myfile.pdf');
?>
En met een simpele if(...) kun je uiteraard voorkomen dat iemand die niet bevoegd is de download krijgt

[size=xsmall]Toevoeging op 13/02/2013 17:30:51:[/size]

of met een geforceerde download:
<?php
header('Content-disposition: attachment; filename=offerte.pdf');
header('Content-type: application/pdf');
readfile('offertes/myfile.pdf');
?>

ed van straaten

14-02-2013 13:14

Ik heb een extra bestandje aangemaakt (check) waarin ik controleer of het offerte_id bij de gebruiker hoort, zo ja dan wordt deze getoond.
bovenstaande voorbeelden heb ik gecombineerd tot iets werkends.
Dit werkt super want in de url wordt ook niet meer getoond in welke map de offertes zijn opgeslagen.

bedankt voor de tips en het helpen op te lossen.

Reageren

Inloggen om te reageren