Hallo,
wieder mal ein PHP-Problem vom Anfänger…
Folgendes Szenario: ich habe einen Kunden-Login “gebaut” (mit Sessions). Für jeden Kunden existiert eine Seite, in der er seine Verträge (als PDF, liegen in einem eigenen Unterverzeichnis) anzeigen bzw. herunterladen kann.
Nun ist es aber möglich, durch Eingabe der kompletten URI darauf zuzugreifen - ohne sich vorher anzumelden.
Das will ich natürlich gerne verhindern… leider ist ein zusätzlicher Schutz mit .htaccess + .htpasswd nicht praktikabel (er müsste sich ein weiteres mal einloggen, und könnte das Passwort dafür auch nicht selber ändern).
Wie kann ich also verhindern, dass PDF-Dateien direkt aufrufbar sind?
RewriteRules scheinen da praktikabel zu sein - nur leider führt das:
RewriteEngine On
RewriteRule ^(.*\.(pdf))$ /restricted/index.php [R]
dazu, dass die PDF-Dateien gar nicht mehr angezeigt werden können (auch nicht bei vorherigem Login).
Ich brauche also eine Regel, die alle Aufrufe von ausserhalb des Userverzeichnisses (/restricted/user) auf die Login-Seite umleitet (/restricted/index.php), von innerhalb des Userverzeichnisses aber zulässt.
Machbar?
Oder Denkfehler?
Andere Lösungen?