bonjour à tous,  
 
Je fais une gallerie web, dans laquelle j'affiche des images. Pour empêcher l'accès direct aux images, je stocke l'adresse de mes images dans une table et je charge chaque image par <IMG SRC="img.php?id=xx">.  Cette page ce charge de savoir si l'utlisateur a le droit d'y accéder et fait un readflie($image_file) si tout est ok.
Evidemment si un utilisateur parvient à connaitre le nom réel de l'image (il faut déjà y arriver...), il pourrait y accéder directement.  
 
Comment empêcher cela ?  Est-ce qu'un .htaccess suffirait à interdire tout download direct d'une image du répertoire /image/ tout en permettant son affichage par <IMG SRC="img.php?id=xx"> ?
 
 
un grand merci
a+
Ethernal

ben...
qd il se logue tu enregistres une variable de session.
qd il accede a la page des img tu verifie si la variable est registered.
si oui tu verif kil a ossi les droits
non?

oui tout a fait, mais ça ne l'empêcherait pas, s'il connait le nom et le répertoire de l'image, de mettre http://www.monsite.com/image/image1.gif dans la barre d'adresse pour y accéder.
 
je pense qu'avec un .htaccess, il y a moyen, mais je demande confirmation  
je suppose que c'est comme inclure "config.inc" dans une page php et mettre un .htaccess qui dit que tout accès aux .inc est interdit ? le principe est le même ?

edit : je n'ai rien dit, j'ai mal compris la question
 
il doit y avoir moyen de mettre un .htaccess et de ne permettre qu'au script l'accès au répertoire, oui.
 
edit2 : essaye voir au lieu de demander si c'est possible

[jfdsdjhfuetppo]--Message édité par youdontcare--[/jfdsdjhfuetppo]

ethernal a écrit a écrit : oui tout a fait, mais ça ne l'empêcherait pas, s'il connait le nom et le répertoire de l'image, de mettre http://www.monsite.com/image/image1.gif dans la barre d'adresse pour y accéder.   je pense qu'avec un .htaccess, il y a moyen, mais je demande confirmation   je suppose que c'est comme inclure "config.inc" dans une page php et mettre un .htaccess qui dit que tout accès aux .inc est interdit ? le principe est le même ?

 
Et si tu controlais le HTTP_REFERER (c'est une suggestion je ne suis pas sur que ca marche). En effet si le mec tape directement la barre d adresse le REFERER vas etre différent de celui utilisé lorsqu il passe par ton script.

à mon sens, il n'y a pas de problème avec le htaccess.
ça bloquera les accès http de l'extérieur mais pas le readfile si tu lui mets un chemin relatif (c pas clair, en gros faut pas mettre readfile("http://www.tonsite.com/...." ) mais "./image/...." )
 
A+
Dropsy

[jfdsdjhfuetppo]--Message édité par dropsy--[/jfdsdjhfuetppo]

 
c'est justement ce que je me demandais
malheureusement, le referer n'est pas fiable

youdontcare a écrit a écrit : edit : je n'ai rien dit, j'ai mal compris la question   il doit y avoir moyen de mettre un .htaccess et de ne permettre qu'au script l'accès au répertoire, oui.   edit2 : essaye voir au lieu de demander si c'est possible

 
hé hé
à moi de faire le paresseux pour une fois que je pose une question
 
Sinon, il y a peut-être un raisonnement différent à adopter, quelque chose à quoi je n'ai pas pensé, si vous avez des idées
 
bon je vais tester tout ça déjà
Merci à tous

 
si si c'est très clair, et c'est bien la réponse à ma question thx