[PHP] protection acces repertoire photo

Bonjour,

"Je souhaiterais afficher sur une page des images personnelles tout en restreignant l'acces direct a ces photos"

Tu veux dire qu'une image doit pouvoir être affichée sur ton site, mais que si quelqu'un tape l'url tonSite/image.jpg , il ne doit pas pouvoir la visualiser, c'est ça ?

C'est pas simple, mais c'est possible.

1 - mets les images dans un répertoire dont le nom n'est pas évident (car si ton serveur php y accède, l'accès sera forcément autorisé par l'url... A condition de connaitre l'URL !)

2 - crée une page php du genre "image.php", qui prend en paramètre un numéro ou un nom d'image.

3 - dans image.php, met un code qui ressemble à

if (!$_SESSION["imageOK"])
  die("Accès interdit");

$im = imagecreatefromjpeg("cheminSecret/".$_GET["nomImage"]);
imagejpeg($im);

Et dans la page qui contient l'image, tu l'appelles comme ceci :

$_SESSION["imageOK"] = true;
[...]
<img src="image.php?nomImage=image1.jpg" />

Comme ça, les images seront accessibles uniquement aux utilisateurs ayant une session d'ouverte : les liens directs auront donc une durée de vie très restreinte. Tu peux surement trouver un moyen d'améliorer ce système (après tout, ça ne fait que 10 minutes que j'y pense !), mais voilà à mon avis une base qui te permettrait de protéger tes images des personnes "normales", qui ne vont pas vouloir tout bidouiller. (Après, forcément, si quelqu'un arrive à lire le code de image.php, il va pouvoir trouver l'adresse de stockage des images, et y accéder...)

J'espère que ça t'aidera.

Xavier

Voila j'allais pas tout laisser comme ça, j'ai fait ceci pour les sessions :

image_test.php

<?
session_start();
$_SESSION['ok'] = 1;
?>
coucou tout le monde

<br />
<img src="affiche_image.php?id=1">

-------------------------------

affiche_image.php


<?php
session_start();
if($_SESSION['ok'] == 1)
{
@mysql_connect('sql.imingo.net', 'yves10', 'mov56edk');
@mysql_select_db("yves10_log");
$requete = "SELECT donnees_binaires,type_fichier FROM images_binaires WHERE id=$id";
$resultat = @mysql_query($requete);
$donnees = @mysql_result($resultat,images_binaires.donnees_binaires);
$type = @mysql_result($resultat,0,images_binaires.type_fichier);
header( "content-type: $type");
echo $donnees;
}
?>


----------------------------

j'ai mis ceci en ligne pour que vous pouviez regarder par vous même

essayez d'abord sur cette adresse http:// yves10.imingo.net/affiche_image.php?id=1

rien ne s'affiche, allez sur

http:// yves10.imingo.net/image_test.php

l'image s'affiche, faites clique droit propriétés sur la photo, vous aurez affiche_image.php?id=1, désormais la session est ok alors si vous retournez la bas vous y aurez accès.

Bonjour

Ce que tu veux faire est étrange.
Tu veux afficher ses photos, mais protéger le répertoire, c'est bien ça ?
Sache que si tu affiches tes images dans une page web qui est accesible par tout le monde, ils peuvent enregistrer ces images, elles ne seront pas protégées, peu importe la protection que tu mets dessus.

Sinon, si le htaccess ne fonctionne pas, tu as toujours le moyen très simple de créer un fichier index.php ou index.htm dans ton répertoire de photos, ainsi lorsque la personne essayera de taper l'url du répertoire c'est le fichier index qui se lance et non pas l'explorateur de dossiers.

Je ne sais pas si cette solution te convient, mais c'est toujours faisable.

Merci a tous d'avoir repondu.

Alors juste quelques precisions :
LEs pages qui affichent les photos ne sont pas en acces libre bien sur !
Je gere les connection via un ecran de connection et en comparant les couples login/passwd avec ceux inscrit dans une DB Mysql.

Pour ce qui est de la protection du "listing" sauvage d'un repertoire, la presence d'un fichier index.html ou php est efficace mais n'interdit pas l'acces, notement via des explorateurs de site du style de Free Download Manager.

J'ai bien noté ton astuce du "createimagefromjpg" j'ai deja vu un code similaire quelque part et ca m'interesse. Ca evite effectivemetn de laisser trainer l'url direct dans "copier l'adresse de l'image".

Ce que je souhaitais surtout, c'est que quelqu'un qui n'a pas acces au site ne puisse pas acceder aux photos via des explorateurs, ou en traficotant un peu.
Apres bien sur on ne peut pas empecher les capture d'ecran ... mais bon le principe de l'inscription est de controler les acces pour des personnes digne de confiance.

Sinon au passage, j'ai trouve une solution bete mais efficace :
La ligne "options -Indexes" qui permet d'interdire le listing des fichiers. Cela bloque aussi les explorateurs.

Cette astuce combiné au systeme d'affichage des images via "createimagefromjpg" pour eviter de donner la possibiliter de divulguer le chemin d'acces aux fichiers, on devrais arriver a quelque chose de bon :)

Note : LEs noms des fichiers sont aussi dans la DB, donc, un ID suffit en argument de page, bien souvent un ID de liste des ID des photos et non directement l'ID de la photo elle meme ....

Le mieux que tu aurais à faire est d'insérer tes images en binaire dans ta base de données, il n'y aurait pas d'adresse absolue de celles-ci et tu les appellerai directement dans ta page.

Stocker directement des images avec MySQL
Il nous faut créer une base (nous l'appellerons "essai") et une table (nous l'appellerons "images_binaires") qui comprendra les champs suivants: id (un entier), donnees_binaires (type MySQL LONGBLOB), nom_fichier (une chaîne), taille_fichier (une chaîne), type_fichier (une chaîne), et, éventuellement, un champ description (une chaîne). On n'oubliera pas de préciser "auto_increment" pour l'identifiant. Nous allons insérer les images dans la base à l'aide, par exemple, d'un formulaire HTML. Il ressemblera à:

<form method="post" action="inserer_image.php" enctype="multipart/form-data">
Nom du fichier: <input type="file" name="image" size="40">
<br><input type="submit" name="ok">
</form>

Notre programme inserer_image.php sera alors le suivant:

<?php
mysql_connect('localhost', 'root', '');
mysql_select_db("essai");
$donnees = addslashes(fread(fopen($image, "r"), filesize($image)));
$result=mysql_query("INSERT INTO images_binaires (donnees_binaires,nom_fichier,taille_fichier,type_fichier) VALUES ('$donnees','$image_name','$image_size','$image_type')");
$id= mysql_insert_id();
print "<br>Indentifiant du fichier dans la base: $id<br>";
mysql_close();
?>

Un petit programme php, afficher_image.php, va permettre de récupérer l'image dans la base:

<?php
@mysql_connect('localhost', 'root', '');
@mysql_select_db("essai");
$requete = "SELECT donnees_binaires,type_fichier FROM images_binaires WHERE id=$id";
$resultat = @mysql_query($requete);
$donnees = @mysql_result($resultat,images_binaires.donnees_binaires);
$type = @mysql_result($resultat,0,images_binaires.type_fichier);
header( "content-type: $type");
echo $donnees;
?>

On appellera ce programme avec une instruction HTML du type:

<img src="afficher_image.php"?id=identifiant>

où l'on précisera l'identifiant correspondant.


c'est la meilleurs façon non?

j'espère seulement que t'as pas 250 photos

Je sais qu'avec ce code l'id de la photo se trouves en get, mais si tu gère un peu les sessions, ben tu pourras facilement contourner ceci et faire que la photo ne s'affiche que si la page en question l'appelle,

je tient à rectifier un morceau de code qui est

<img src="afficher_image.php"?id=identifiant>


le guilmet doit se trouver après identifiant

<img src="afficher_image.php?id=2">
(par exemple)

bon courage

non tkt pas de soucis, le pass est bidon, merci de m'avoir signaler, d'ailleurs si ça avait été le cas, et comme je viens de m'en appercevoir, mon site serait déja sur orbite à l'heure actuelle,

merci en tout cas, si ça avait été le cas, j'aurais été dans la *** @+

Moi je te conseil simplement si bien sur tu est bon en flash, de créer ton album d'images au format flash.
Mes sache qu'il y aura toujours moyen pour des petit malin de prendre tes images, soit par la décompilation du flash, ou par capture simple.
exemple : http://www.media-son.com/photo/Animation_sportive_et_commerciale/album_sport.swf

Si c'est une question de droit sur l'image:

Astuce simple (mais efficace) :

- N'enregistrez jamais d'image non compressée ou dont les dimensions correspondent à l'originale, c'est simple.

Les droits d'auteur exigent le fardeau de la preuve: je ne crois pas qu'un photographe amateur prendra du plaisir à disposer d'une photo jpg compressée ou d'un png réduit de moitié par rapport à l'original.

Si tu possède l'image originale, alors pourquoi se soucier de ce que les autres en feront? Sinon, c'est de la chasse au sorcières ;-p

Mon opinion!