https://slinkov.ru/openforum/vsluhforumID8/5341.html Встал такой вопрос.<br>Как после авторизации пользователя на сайте - в зависимости от его логина - назначить права досупа к папкам?<br>Например авторизовался пользователь user1:<br>1. он может скачивать файлы только из папки var/www/users/user1/files<br>2. может выполняется скрипт /var/www/ченибудь_такое<br>3. папку var/www/users/config - пользователь напрямую прочитать не может, а скрипт может.<br><br>Пока предполагаю - что веб-сервером будет apache.<br>Но мне кажется что проблематика настолько опщая - что должно быть какое-то боле-менее стандратизированное решение =)<br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#9 Mon, 05 Nov 2007 17:21:52 GMT Если интерфейс идет через скрипт то можно сделать намного проще и удобней для пользователя (так как http authorization жутко раздражает). Создаете каталог доступный сточки зрения апача всем пользователям и отключаете на нем индексы. То есть зная имя файла его прочитать можно, но вот список имен посмотреть нельзя. Файлы пользователей храните в каталогах, недоступных через браузер. Когда пользователь заправшивает файл создаете hardlink на этот файл в общедоступном каталоге с именем сгенерированным по типу GUID и отдаете пользователя это имя. Время от времени хардлинки можно удалять.<br><br>По поводу взлома. ввведите жесткие ограничения на используемые символы в данных от пользователя. которые каким либо образом используются в операциях с БД или файлами. Используйте регэкспы для проверки. Например запретите в логине, пароле, имени аплоадящегося файла все символы кроме A-z0-9_. Если нельзя ограничить данные для БД, то используйте специфическую для данной БД функцию экранированя, а лучше вообще делайте запросы с пара https://slinkov.ru/openforum/vsluhforumID8/5341.html#8 Mon, 05 Nov 2007 01:59:08 GMT Скрипт один на всех пользователей.<br>Скрипт дает возможность пользователю:<br>1.вывести часть файла в виде html страницы.<br>2. дать прямую ссылку на файл.<br><br>Поэтому я боюсь:<br>1. что пользователь сломав скрипт сможет прочитать файлы другого пользователя (или файл своего конфига).<br>2. напрямую скачать файл из чужой папки.<br><br>Насколько я понял на данный момент, первое решается с помощью suexec, второе с помощью .htaccess и .htpasswd.<br><br>Я прав? %)<br><br>p.s. Насчет mod_rewrite не очень понял. Он решает только вторую проблему? %)<br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#7 Sat, 03 Nov 2007 12:10:30 GMT Если средствами апача, то просто положите соответствующие .htaccess и .htpasswd во все папки. В папке доступной юзеру должен быть .htpasswd только с его записью<br><br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#6 Fri, 02 Nov 2007 09:43:32 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Хотелось бы дополнительный уровень защиты, так как я не до конца уверен <br>&gt;в качестве скрипта и есть подозрение - что много народу будет <br>&gt;пытатся его взломать. <br>&gt;<br>&gt;Не хотелось бы что в случае взлома скрипта например - пользователи лазали <br>&gt;в чужие папки или смотрели свой конфиг. <br>&gt;<br>&gt;Насчет того как проводить авторизацию - пока не решил. <br>&gt;Вроде как средставами веб-сервера надежнее получается (?) <br><br>Я бы дал идею такую - rewrite rules (mod_rewrite). После успешной аутентикации подставлять имя юзера в путь, откуда можно и нужно брать файлы. Скрипт при этом будет один и работа однообразная. Для юзера прозрачно. Если конечно речь идет только о файлах которые надо показать юзеру а не о скриптах для каждого юзера, которые могут исполняться этим каждым юзером со своими правами.<br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#5 Fri, 02 Nov 2007 08:45:43 GMT &gt;&gt;Собственно для скриптов я и описываю, т.к. об этом человек и спрашивает. <br>&gt;&gt;<br>&gt;<br>&gt;А как тогда понимать: <br>&gt;&gt;1. он может скачивать файлы только из папки var/www/users/user1/files<br>&gt;<br>&gt;это ведь доступ к статике. Если скачивание через скрипт, то сам скрипт <br>&gt;и должен определять откуда можно, а откуда нельзя и никакой suexec <br>&gt;тут не нужен <br><br>Немного почитал, теперь могу более осознанно сформулировать.<br><br>Скрипт дает возможность пользоватлеям работать с файлами в своих папках.<br>Также у каждого пользователя есть файл конфига.<br><br>Хотелось бы дополнительный уровень защиты, так как я не до конца уверен в качестве скрипта и есть подозрение - что много народу будет пытатся его взломать.<br><br>Не хотелось бы что в случае взлома скрипта например - пользователи лазали в чужие папки или смотрели свой конфиг.<br><br>Насчет того как проводить авторизацию - пока не решил.<br>Вроде как средставами веб-сервера надежнее получается (?)<br><br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#4 Fri, 02 Nov 2007 06:08:55 GMT &gt;Собственно для скриптов я и описываю, т.к. об этом человек и спрашивает. <br>&gt;<br><br>А как тогда понимать:<br>&gt;1. он может скачивать файлы только из папки var/www/users/user1/files<br><br>это ведь доступ к статике. Если скачивание через скрипт, то сам скрипт и должен определять откуда можно, а откуда нельзя и никакой suexec тут не нужен<br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#3 Thu, 01 Nov 2007 09:47:52 GMT Собственно для скриптов я и описываю, т.к. об этом человек и спрашивает.<br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#2 Thu, 01 Nov 2007 03:55:46 GMT &gt;буквально - необходима прокладка - в апаче она именуется suexec (читай документацию). <br><br>Не поможет. suexec это только для скриптов, но не для статики, а задача похоже на статику. Кое-какие идеи как это сделать есть, но это слишком геморно и того не стоит. Кстати, а каким образом вы собираетесь делать авторизацию?<br><br><br> https://slinkov.ru/openforum/vsluhforumID8/5341.html#1 Wed, 31 Oct 2007 17:09:25 GMT буквально - необходима прокладка - в апаче она именуется suexec (читай документацию).<br>