Ich erstelle eine Mitgliederseite mit PHP und einer MySQL-Datenbank und habe die Möglichkeit, dass sich Benutzer mit ihrem Benutzernamen und Passwort anmelden. Alles ziemlich normale Sachen.

Ich habe sogar das System eingerichtet, mit dem registrierte Benutzer Beispielvideodateien herunterladen können. Das funktioniert auch super.

Das Problem ist jedoch, dass jeder, der das Dateisystem herausfinden kann, diese Dateien direkt herunterladen kann.

Angenommen, wir haben den Hauptordner mit dem Videoinhalt "videos" und in "videos" befinden sich Unterordner wie "flugzeuge", "züge" und "autos" mit separaten Ordnern (z. B. "jets") ',' Requisite 'und' Spion 'für' Flugzeuge ') mit spezifischen Videos für jede Unterkategorie.

Wenn jemand das Dateisystem kennt, kann er einfach tippenhttps://www.myvideosite.com/videos/planes/jets/f15.wmv und nach Herzenslust herunterladen, sofern sie die Dateinamen kennen. (Wie Sie sehen, habe ich eine sichere Verbindung und sie befindet sich auf einem Apache-Server unter Linux.)

Dies ist eine wichtige Sicherheitslücke, die ich schließen möchte, bevor sie entdeckt wird. Ich habe die .htaccess-Sache recherchiert, aber meine Bemühungen damit führen oft dazu, dass der gesamte Ordner "videos" nicht mehr zugänglich ist (ich gebe zu, ich bin in all dem neu!).

Ich habe auch darüber gelesen, wie ich meine Videodateien außerhalb des Site-Stammordners platziere, aber das sieht noch verwirrender aus.

Einfach ausgedrückt, wie in aller Welt kann ich das Herunterladen von Dateien durch Personen deaktivieren, die keine Mitglieder sind, die aber (mit welchen Mitteln auch immer) herausfinden können, was das Dateisystem ist? Dies sollte meiner Meinung nach einfach sein, aber leider finde ich keine solide Antwort.