in geschütztem Bereich pdf Datein schuützen

[MarS]

Das sieht soweit ok aus, wie ist denn der Aufruf?

http://www.example.com/download.php?File=test.pdf

Sollte funktionieren, wenn es diese Datei gibt:

http://www.example.com/BETA/Downloads/test.pdf

Gruß, Martin

[we:willRockYou]

Das Script selbst kann ja gar keinen 404 schmeissen, was eigentlich heissen müsste, dass Du das Script selbst nicht richtig aufrufst.

Ich hab mir den Thread jetzt nicht durchgelesen, aber ich seh da ein ziemliches Sicherheitsproblem.

http://www.example.com/download.php?Fil ... nf.inc.php
Das sollte noch geprüft werden.

[Jaui]

Wenn wir es genau nehmen, liegt das PDF versuchsweise auf dem Pfad
http://www.example.com/BETA/Downloads/K ... atalog.pdf

mein Eintrag sieht dementsprechend aus
BETA/Downloads/Katalog

und Ausgegeben wird

http://www.example.com/download.php?File=katalog.pdf

[MarS]

Dann musst du aber auch den korrekten Pfad angeben:
downloads.php?File=Katalog/katalog.pdf

Wie Daniel schon schrieb, reisst man sich mit dem Script aber (so wie es) ist ein schönes Loch ins System.
Wenn schon Dateinamen im Klartext, dann sollte man die Slashes strippen oder zumindest ../ entfernen.

Gruß, Martin

[Jaui]

Das ist meine download.php Vorlage

Code: Alles auswählen

    <?php
    $MyFile = $_REQUEST["File"];
    $MyDownloadFile = $_SERVER["DOCUMENT_ROOT"] . "/BETA/Downloads/Katalog/" . $MyFile;
    header("Content-Type: application/octet-stream");
    header("Content-Disposition: attachment; filename=$MyFile");
    readfile($MyDownloadFile);
    ?>

und das steht in meiner index.php Vorlage

Code: Alles auswählen

<we:ifNotEditmode>
<?php
$block = unserialize($we_doc->getElement("BlkSafeDownload"));
for($i=0; $i<sizeof($block); $i++)
{
$nr = $block[$i];
$MyLink = unserialize($we_doc->getElement("SafeDownloadblk_BlkSafeDownload_".$nr));
$MyLink['id2path'] = f("SELECT Path FROM tblFile WHERE ID='".$MyLink["id"]."'","Path",$GLOBALS["DB_WE"]);
$zwischenspeicherung = explode("/",$MyLink['id2path']);
$letzterEintrag = count($zwischenspeicherung);
$Save = $zwischenspeicherung[$letzterEintrag-1];
echo " <a class='vert' href='/download.php?File=".$Save."'>".$MyLink['text']."</a>";
}
?>
</we:ifNotEditmode>

und zu guter letzt ist das der (vorübergehende) Pfad zu meinem PDF:
http://www.example.de/BETA/Downloads/Ka ... atalog.pdf
Die PDF`s bekommen später noch ihr eigenes Verzeichnis mit einer .htaccess aber zum testen muss das doch reichen?

Wo stimmt denn jetzt die Pfadangabe nicht und wie soll ich denn die "/" entfernen?
So tief stecke ich leider noch nicht in der PHP Materie drin.

[we:willRockYou]

Gibt es die Datei http://www.example.com/download.php ganz sicher? Weil das Script selbst startet ja keine HTTP-Anfrage (was die einzige Ursache für eine 404-Meldung sein kann). Demnach sehe ich den Fehler an der Stelle.

Sauber bekommst Du den Parameter z.B. mit basename

[Jaui]

Hat jetzt funktioniert.
Ich hatte gestern ein Brett vor dem Kopf.
Die download.php liegt mitlererweile auf dem Document root. Wollte für jeden Download eine eigene Datei anlegen

Danke für die Unterstützung.
Ihr seid die Besten

[ski]

Was bringt mir denn das download.php? Nur, dass der absolute link nicht sichtbar ist?
Ich verstehs nicht...

[we:willRockYou]

Der absolute Link ist nicht nur nicht sichtbar, sondern auch nicht direkt aufrufbar. Der Download-Ordner sollte entsprechend per .htaccess geschützt werden.

[MarS]

Nur so als Tipp, bevor jemand auf die Idee kommt, für das Verzeichnis Username+Password zu vergeben: Für den Schutz reicht ein "deny from all" in der htaccess-Datei.

Gruß, Martin

[ski]

Hallo,
ich habe noch mal eine Frage zum download.php: Bei mir kommt zwar der richtige Download Dialog, jedoch können die Dateien nach dem download nicht angezeigt werden, da sie irgendwie Kaputt sind... Sie sind auch alle nur 15.1 kB groß. Hat jemand schon mal dasselbe Problem, oder weiß jemand was dahinter steckt? Der Pfad und alles ist korrekt.
Bitte um Rat!

Grüße
Ski

Edit: Pfad war wohl doch durcheinander gekommen... Habe aber selbes Problem, wenn ich dem Template ein Mastertemplate hinzufüge. Dann sind die Downloads nur noch Müll... Ist das normal, also darf ich dem Template kein Mastertemplate geben?

[plan4]

Einen Lösungsansatz, wie man die Nutzung der download.php global erzwingen kann, habe ich hier beschrieben:
viewtopic.php?f=18&t=13486&p=56547#p56547

Gruß
Dietmar

[justice66]

Hallo Forum
Schon mal sorry im voraus, bin leider absoluter Neuling.
Ich möchte den Quellcode aus diesem Thread mit einem we-link-block verbinden. Also eigentlich soll es ein stinknormaler PDF-Downloadbereich werden. Klappt mit dem ersten Link auch alles prima.
Wenn ich im Edit-Modus einen 2ten Link hinzufüge, ist dieser aber nicht zu sehen, sondern nur der vorangestellte Text.
Ist da vielleicht ein Fehler im Counter, oder voran könnte es liegen?

Code: Alles auswählen

 <we:ifEditmode>
   <we:block name="BlkSafeDownload">
    <we:link name="SafeDownloadblk"/>
	<br>
   </we:block>
 </we:ifEditmode>

<we:ifNotEditmode>
<?php 
$block = unserialize($we_doc->getElement("BlkSafeDownload")); 
for($i=0; $i<sizeof($block); $i++) 
{ 
$nr = $block[$i]; 
$MyLink = unserialize($we_doc->getElement("SafeDownloadblk_BlkSafeDownload_".$nr)); 
$MyLink['id2path'] = f("SELECT Path FROM tblFile WHERE ID='".$MyLink["id"]."'","Path",$GLOBALS["DB_WE"]); 
$zwischenspeicherung = explode("/",$MyLink['id2path']);
$letzterEintrag = count($zwischenspeicherung);
$Save = $zwischenspeicherung[$letzterEintrag-1];
echo "
";
echo "
Download der Datei: <a href='/download.php?File=".$Save."'>".$MyLink['text']."</a><br>";
echo "
"; 
} 
?>
</we:ifNotEditmode>

Wär super wenn jemand helfen könnte. Hab aus Verzweiflung schon in die Tastatur gebissen.
Vielen Dank im voraus.
Gruß Justice

[statist]

Hallo zusammen, ich muss dieses etwas ältere Thema nochmal aufgreifen, weil bei mir (wie auch schon von ski beschrieben) sämtliche Download-Dateien unbrauchbar sind (0 kB etc), sobald die .htaccess mit irgendeinem Befehl versehen ist. Wenn die .htaccess nicht gesetzt ist, funktioniert die Vorlage von bolleone einwandfrei. Wie sieht bei Euch die .htaccess aus? Vielen Dank im Voraus!

[WBTMagnum]

Hallo statist,

Alte Threads aufwärmen ist leider oft problematisch und macht es den gewillten HelferInnen nicht wirklich leichter.

Kannst du bitte einen neuen Thread aufmachen und deine Ausgangssituation etwas genauer beschreiben. Wie schaut dein Code aus, wie hast du deinen geschützten Download-Bereich konfiguriert, .htaccess, webEdition Version, PHP Version, gibt es Fehlermeldungen im webEdition Fehlerlog oder im Fehlerlog des Webservers, etc.


Liebe Grüße,
Sascha