ich komme leider bei einem recht kritischen Problem nicht weiter.
Bei einer Website sollen Dokumente, die nur für eingeloggte Benutzer gedacht sind, auch nur erreichbar sein, wenn man als Frontend-/Backenduser eingeloggt ist, also wenn
Code: Alles auswählen
$auth->auth["uid"] != "nobody"
Ich habe hier jetzt als sicherste Methode folgende erdacht:
.htaccess im betreffenden Upload-Ordner:
Code: Alles auswählen
Options +FollowSymLinks
RewriteEngine on
RewriteRule ^(.*)$ /front_content.php?idart=578&file=/upload/protected/$1 [NC]
Und ein Artikel der das Modul zum prüfen des Login-Status anthält:
Code: Alles auswählen
<?php
if ($auth->auth["uid"] == "nobody") {
echo 'denied';
} else {
readfile($_REQUEST['file']);
}
?>
Wie lässt sich das lösen?
Oder gibt es einen besseren Workaround? Das ganze über ein Modul zu lösen, indem man die Dokumente über einen Artikel verlinkt ("front_content.php?idart=34&downloadfile=/upload/protected/text.jpg", oder in der Art), macht meiner Meinung nach keinen Sinn, da man im Zweifelsfall die Dokumente ja trotzdem über die direkte URL aufrufen kann...
Schöne Grüße
Lars