Leider würde aber einen Ordner in dem PDF’s für die Seite
liegen ungeschützt bleiben (wenn man den direkten Pfad kennt
oder erraten kann).
Hi,
mach’s dir doch einfacher:
Wie du schon gedacht hast schützt du den Ordner per .htaccess. Gut, ok.
Aber warum willst du dem User unbedingt direkten Zugriff auf den Ordner und seine Inhalte geben? Angenommen, du willst an bestimmte User nur bestimmte PDFs geben, die anderen im Ordner aber nicht, dann wird das ein riesen-gewurste mit mehreren Ordnern, -htaccess-Files etc.
PHP hingegen liegt auf demselben Server, es kann also ohne die .htaccess und ihre Beeschränkungen beachten zu müssen auf die Inhalte des Ordners zugreifen.
D.h. wenn ein Benutzer eine Datei anfordert schickst du diese Anforderung nicht an den Ordner (und somit an Apache) sondern an php. Php überprüft dann in der Datenbank, ob der Nutzer angemeldet und mit den nötigen Rechten für den Zugriff auf den Ordner ausgestattet ist. (Ausserdem bitte überprüfen, dass auch wirklich eine gültige Abfrage auf GENAU DIESEN Ordner abgegeben wurde, sonst können angemeldete User dieses Script ausnutzen um zum beispielt auf /files/pdf/…/…/etc usw. zuzugreifen).
Wenn alles ok ist und der User die Datei haben darf lässt du PHP die PDF-Datei auslesen und mit 'nem modifizierten Header an den Browser ausgeben. (Ein passender Thread dazu war bis vor 2 oder 3 Tagen noch in diesem Board gelistet, könnte jetzt gerade ins Archiv gewandert sein.)
Der User hat seine PDF, keiner kann an deinen Ordner ausser das Script und du selbst per FTP.
Gut?
