ugrás a tartalomhoz

cookie vagy sesson + azonosított usernek file küldés?

Fkele · 2006. Már. 3. (P), 21.15
Sziasztok!


Az lenne az egyik kérdésem, hogy ti hogyan csinálnátok azt meg, hogy egy cookie-val ellenőrzött felhasználó belépés után (php4 / mysql 3.x) egy flash/swf player lejátszik külső/másik file-ból egy flash videót, és hogy az a videót ne lehessen a html forrás, vagy az oldal megvizsgálása után simán lementeni, szimplán körbeküldeni a címét így pld:

http://www.fkelemenwebje.hu/video/enyem.swf (persze ez példa, nem megy)
Szóval van egy swf ami a player, meg egy másik, amit lejátszik. Béna, de működik.

Szóval ha az egészet htaccess mögé raknám, nem lenne jó, mert előugrana az apache miatt egy login/jelszó kérő ablak, ez nem jó.

Már csináltam egy letöltő php kis részt, de az csak annyi, hogy amit le kell tölteni, azt a header-ben átirányítja oda, meg hogy letöltés, és számolja. Rég csináltam, de valahogy ez a lényege, meg működik. Szóval pld: letolt.php?azon=12 akkor az adatbázis 12-is letölsésének a http://www.fkelemenwebje.hu/letoltes/enyem.zip -t küldi, és növekszik a számláló. Tudom ez sem spanyol viasz. Meg ez nem is jó, mert ha egy belépett megnézi a file-t, honnan jön, akkor a külső emberek is el tudják érni ha megadja másoknak. Szóval ez a letöltő kis kód nem jó erre sajnos.

Amire gondoltam, hogy csinálni egy kuld.php -t, ami paraméterezve küldi a file-t mintha letöltenék. És ez a php ellenőrizheti, hogy a cookie szerint van-e jogosultsága hozzá, be van-e lépve, satöbbi. Esetleg ott a flv, amit a webről el sem lehet érni, és a php olvassa, így garancia hogy csap a php-n keresztül nézik. Szóval a kuld.php egy olyan könyvtárból olvasna, amit amúgy nem lehet elérni. Ennek mi lehet a hátránya? Lassúság? Terhelés?

A másik, a session kezelés, de ebben nincs tapasztalatom. Az alap php session-t nem javasolják, én elkezdtem írni pár doksi alapján egy olyan session kezelést, ami mysql-be rakja a session azonosítot, és a cookie-ba csak a session azonosító kerül kódolva, de ez még nincs kész, meg még hibás, de elvileg ez a legbiztonságosabb, csak még nem működik.

A kérdésem,
1.: Hogy oldanátok ti meg ezt az swf olvasást, hogy csak a regisztrált, belépettek tegyék meg, és ha tudják is a címet ,ellenőrizze valami, hogy be van-e lépve? Csak php-val lehet megcsinálni? Amit ismertek ingyenes portálok, azok tudnak ilyet, és ott hogy működik?
2.: Érdemes a cookie-ban titkosított logint jelszót session kezeléssel megoldani? Mi az előnye?

Kezdő/haladó programozó vagyok, és kíváncsi vagyok nálam okosabbak véleményére ( nem nehéz túlszárnyalni, nyugi, hehe )

Köszönöm a válaszokat előre is, ma már nem leszek, csak holnap este.
Fkele
 
1

együtt

Anonymous · 2006. Már. 4. (Szo), 23.36
a cookie és a session együtt a legtutibb nem?
2

:-(

Fkele · 2006. Már. 15. (Sze), 21.14
Senki nem tudja? Csalódás ez a fórum :-(
3

Egyszerűsítsük le...

-zsolti- · 2006. Már. 15. (Sze), 22.48
...mert ez így feleslegesen túl van komplikálva.
1: jó lesz neked a session, nem kell belekeverni semilyen cookiet (ha csak nincs szükséged olyanra, hogy "megjegyezze a belépést" ergó két nap múlva, a böngésző bezárása után is be legyen jelentkezve...)
2: jó lesz neked a hagyományos "fájl a szerveren" session, felesleges ezért külön adatbázist faragni rá. Elég biztonságos ez így, ha nem államtitkokat tárolsz.

Tehát ezt eddig megcsinálod, utána pedig készítesz egy flash.php fájlt, aminek az elején elsőként ellenőrzöd, hogy be van-e lépve. Ha nincs, eldobod a kérést, ha igen, akkor beletöltöd az swf-et:
- küldesz egy application/x-shockwave-flash header (így a .php fájlod valójába .swf lesz majd a böngésző számára)
- beolvasod a flash-t egy útvonal alapján, vagy ha adatbázisban (blob) tárolod, akkor onnét.

Pl: flash.php?id=28 ekkor a 28-as ID-jű swf-et kapod meg. Probléma megoldva: az eredeti útvonal nem derül ki, valamint védett, hiszen az ellenőrzés még a flash.php elején megtörténik.