Ho ereditato un'applicazione con un buco di sicurezza abbagliante.Limita l'accesso ai file agli utenti php autorizzati
Ha una sicurezza basata sulla sessione, ma i caricamenti di file (che sono specifici dell'utente) non sono protetti in alcun modo e sono memorizzati nella struttura dei file pubblici.
I nomi di file non seguono alcuna convenzione in quanto tale, rendendoli difficili da indovinare, ma i dati sono sensibili e pertanto è necessario implementare una misura di sicurezza per impedire l'accesso non autorizzato ai file.
Spostare la posizione dei file non è davvero un'opzione, quindi sto esaminando una soluzione htaccess per inoltrare richieste a uno script di gestore php.
Qualcuno ha esperienza nell'implementazione di questo tipo di cose o di buone soluzioni alternative? Esempi specifici di sintassi .htaccess sono molto apprezzati, dato che sto lottando in questo settore.
Hai dimenticato mod_rewrite .. questa è una soluzione migliore. – Matt
Grazie, darò un'occhiata a questa soluzione - il motivo per cui non vogliamo spostare la posizione dei file è che gli utenti ricevono e-mail con collegamenti ai loro file (di nuovo, non io mi affretto ad aggiungere!). Immagino che potrebbe ancora essere fatto, ma richiederebbe un po 'più di lavoro per gestire il reindirizzamento? – BrynJ
Dovrei aver aggiunto a quanto sopra che farò rimbalzare l'utente a un prompt di login in futuro (tramite il gestore) se non sono loggati. – BrynJ