Tworzę witrynę członkostwa przy użyciu PHP i bazy danych MySQL, mam środki, aby użytkownicy mogli się logować przy użyciu nazwy użytkownika i hasła. Wszystkie całkiem standardowe rzeczy.

Dostałem nawet system umożliwiający zarejestrowanym użytkownikom pobieranie przykładowych plików wideo. To też działa świetnie.

Problem polega jednak na tym, że każdy, kto może dowiedzieć się, że system plików może bezpośrednio pobrać te pliki.

Powiedzmy, że mamy główny folder zawierający treści wideo zwane „filmami”, a wewnątrz „filmy” mamy podfoldery, takie jak „samoloty”, „pociągi” i „samochody” z oddzielnymi folderami wewnątrz każdego z nich (np. „Dżety” „,„ prop ”i„ szpieg ”dla„ samolotów ”) z konkretnymi filmami dla każdej podkategorii.

Więc jeśli ktoś zna system plików, może po prostu wpisaćhttps://www.myvideosite.com/videos/planes/jets/f15.wmv i pobieraj do ich treści, pod warunkiem, że znają nazwy plików. (Jak widać, mam bezpieczne połączenie i jest ono na serwerze Apache z systemem Linux).

Jest to główna dziura w zabezpieczeniach, którą chciałbym podłączyć przed jej wykryciem. Zbadałem sprawę .htaccess, ale moje wysiłki, które często prowadzą do tego, że cały folder „wideo” nie jest dostępny (przyznam, że jestem nowy w tym wszystkim!).

Czytałem również o umieszczaniu moich plików wideo poza folderem głównym witryny, ale wygląda to jeszcze bardziej myląco.

Mówiąc najprościej, jak mogę wyłączyć pobieranie przez ludzi, którzy nie są członkami, ale którzy mogą odkryć (za pomocą dowolnych środków), jaki jest system plików? Moim zdaniem powinno to być proste, ale niestety nie znajduję solidnej odpowiedzi.