Publicado em 24 de fev.

Limitar visualização de conteúdo por usuário

salve galera tudo nos conformios? estou com uma dúvida para a qual venho pedir dicas e opiniões. seguinte estou criando um site que será acessado por alguns usuários que terão seus conteúdos próprios e queria uma forma de um não poder ver as imagens, vídeos, arquivos, etc dos outros. seria algo tipo facebook aonde uma imagem pode ser definida como privada. já que citei om facebook, como ele controla isso? alguem sabe? será unicamente no rewrite do htaccess? será incluindo os arquivos em blob no banco de dados? essa segunda opção não me apraz porque logicamente o banco ficaria gigantesco. como seria a forma mais eficaz?

agradeço pelas dicas.

Discussão (11)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Lucas Guima· 24 de fev.

Já pesquisou na net (leia Google) sobre isso?

Danilo Soncini· 24 de fev.

Vamos separar por partes, para limitar o conteúdo que o cara vai ver é algum parâmetro em banco

Permissão

Publico - Todos visualizam

Privado - Apenas o proprietário visualiza

Amigos - ... etc

É o famoso "if" no código

if($publico)
{

 echo "Conteúdo"
}

elseif($privado and $usuaricriador = $usuarioLogado)
{

 echo "Conteúdo"
}

else
{

 echo "conteúdo indisponível"
}

Você já possui uma estrutura de Banco? talvez seja nessa parte que tenha que estudar para verificar onde vai persistir os dados de permissão.

Em armazenar imagens em bancos, existem alguns tópicos sobre esse assunto no fórum, mas resumindo o custo de redundância e escalonamento de um servidor de banco é maior que de um servidor de aplicação, então em miúdos prefira manter os arquivos na aplicação com nomes não amigáveis, e sem listar arquivos do diretório.

Acredito que o htaccess e rewrite não sejam necessários para essa função, apenas para os bloqueios de listagem dos diretórios.

Ou colocar a imagem física em um local fora da pasta que não acesse via http e busque via servidor e retorne em base64

marsolim· 24 de fev.

em primeiro lugar agradeço a todos por participar.

Lucas Guima eu sempre passo umas horas e por vezes dias pesquisando antes de postar. inclusive vai fazer dois anos que me inscrevi no forum e só postei 3 perguntas contando essa desse tópico mas já postei dezenas de respostas a perguntas de outros membros. nesses quase dois anos foram incontaveis as vezes que resolvi dúvidas apenas pesquisando no forum e no famoso google :P mas tem momentos que a gente não encontra as vezes por não saber os termos corretos para usar na pesquisa. dessa vez mesmo pesquisei no forum e no google usando termos em português e em inglês mas não consegui nada alem do que eu já imaginava.

Danilo Soncini, essa parte de liberar o acesso ao conteúdo tendo por base as permissões no cadastro do banco de dados é tranquilo. a minha dúvida mesmo é como as redes sociais como o face fazem para um usuário não ter acesso externo ou via browser ao conteúdo privado de outro usuário mais especificamente imagens, vídeos e arquivos. eu queria entender o processo para ver se consigo fazer parecido. o que eu tenho em mente a princípio é cadastrar todos os caminhos desses arquivos no banco de dados. algo do tipo:

id | iduser | pasta | nomearquivo

ou ainda nem precisa cadastrar no banco. se eu programar para os arquivos serem salvos com um prefixo que seja a id do usuário posso usar o prefixo para carregar as imagens apenas desse usuário por exemplo na página. com isso posso colocar na página os links apenas para o conteúdo cadastrado pelo usuário. e para evitar que outros usuários consigam acessar pela barra de endereço do browser digitando por exemplo www.site.com.br/pasta/imagem.jpg ou que conseguissem abrir a imagem externamente em outro site eu usaria o htaccess. tenho em mente ainda bloquear acesso direto as pastas do site ou seja só poderá acessar via uma página index. ainda outra coisa que tenho em mente é trocar o nome do arquivo por um md5 por exemplo.

uma última pergunta, vocês acham mais prático criar uma pasta para cada usuário ou deixar tudo em uma pasta só com a identificação do usuário? por exemplo: iduser_nomearquivo.ext

agradeço mais uma vez.

Fernando C· 25 de fev.

1 dica: pesquise sobre sessões

marsolim· 27 de fev.

Fernando C agradeço pela resposta mas não é esse o caso. as seções não são segredo para mim.

Maykel-ctba· 27 de fev.

Com Sessions você faz tudo isso.

Só atribuir uma verificação simples de algoritmo.

Em todo conteúdo, você terá que cadastrar a quem pertence.

se (id do dono do conteudo == id da sessao)
libera a visualização
senao
não mostra nada, ou algum outro conteudo generico para todos.

Agora se a pessoa tiver a URL final da imagem exclusiva, por ex. não há o que ser feito.

Mesmo no Facebook, se a imagem estiver privada, ela copia a URL dela e passa pra alguem, ela verá normalmente o JPG.

marsolim· 27 de fev.

Maykel como eu falei essa parada de liberar por sessions para visualização dentro da página é tranquilo, isso não é segredo para mim. a questão é exatamente abrir o arquivo externamente pela url no navegador ou a partir de outro site nos chamados hot links. eu já bloqueio isso usando htaccess. o que eu queria saber é se alguém conhece algum outro método para fazer esse bloqueio.

Maykel-ctba· 27 de fev.

Acredito que só por htaccess e se estes arquivos estiverem em diretórios separados por usuario, por exemplo. Dessa maneira, travaria o acesso ao diretório com determinado ID.

Mas na prática não sei nem se é possível, mas se você diz q já fez, até gostaria de saber como foi feito!

marsolim· 27 de fev.

eu uso em um nível anterior ao public_html para funcionar para todas as pastas e subpastas um arquivo .htaccess com os parâmetros abaixo que eu comentei para saber o que faz o que:

bloqueia acesso ao diretório pela

barra de endereços do browser

Options All -Indexes

ativa a sobrescrita de url

RewriteEngine on

define o site dentro de onde uma página

pode acessar os arquivos bloqueados

RewriteCond %{HTTP_REFERER} !^http://(.+.)?site.com.br/ [NC]

define as extensões que serão bloqueadas para

acesso externo e direciona para a página index.html

RewriteRule .*.(jpg|png|gif|zip|rar|exe)$ index.html [L]

abre uma página de erro personalizada

ErrorDocument 403 /403.html

abre uma página de documento

não encontrado personalizada

ErrorDocument 404 /404.html claro que isso tudo tem que estar habilitado no php.ini. geralmente os hosts já tem isso habilitado. na primeira linha desse .htacess eu bloqueio acesso ao diretório que não tiver uma página index. se a pessoa tentar acessar o diretório dará um erro 303. então tenho um parâmetro que abre uma página personalizada ao invés de exibir o erro padrão. nas outas linhas defino que só o site aonde está tudo isso pode ter páginas que acessam os arquivos bloqueados e defino as extensões bloqueadas. se alguém digitar na barra de endereço http://www.site.com.br/imagem.jpg ou colocar isso em um link dentro de outro site (hot link) ele será direcionado para a página index.html e não será exibida a imagem mesmo que ele exista. isso também bloqueia download de arquivos pela barra de endereços. se eu tenho um arquivo de nome arquivo.rar e a pessoa digitar www.site.com.br/arquivo.rar na barra de endereços também será direcionado para index.html e não será feito o download.

William Bruno· 27 de fev.

como ele controla isso? alguem sabe?

não sei qual é a estratégia exata que eles usam, porém consigo imaginar formas de fazer.

será unicamente no rewrite do htaccess?

certamente não.

será incluindo os arquivos em blob no banco de dados?

também não.

Você terá que fazer esse controle programaticamente.

Imagine os estados:

-> Pode ser público

-> Pode ser privado

Okay ? Considere uma delas como "padrão" (default). Peguemos o estado público como padrão.

Sempre que algo tiver que ser exibido, seja por URL direta ou no meio de alguma outra listagem, vc terá que verificar em um banco de dados, quais as condições de exibição daquele conteúdo.

Se for público, não terá nada no banco.

Se for privado, vc terá o ID de quem pode visualizar. Seus usuários estão sempre logados.

Verifique se o usuário atual na sessão possui acesso aquele conteúdo, fazendo uma busca no banco.

Quanto a URL direta, sempre que algo for privado, impeça de ser exibido, por você não conseguir saber quem é que está tentando ver. (caso não haja uma sessão aberta).

marsolim· 1 de mar.

William Bruno agradeço pela resposta mas como eu disse o controle dentro do site usando sessões, cookies e o banco de dados é tranquilo. isso para mim não é segredo. a questão que me ronda se trata apenas sobre a abertura ou download de arquios digitando a url na barra de endereços como por exemplo www.site.com.br/imagem.jpg ou www.site.com.br/arquivo.zip mas para isso também já tenho alguns macetes como bloquear acesso direito ao diretório colocando uma página index nele e usando -indexes no htaccess alem de usar outros truques (veja o exemplo de htaccess que postei anteriormente). só queria mesmo ver se alguém sabia de outros truques para esse bloqueio de acesso externo a imagens, vídeos e outros arquivos como zip e exe. mas acho que é só isso que já uso mesmo.

de qualquer forma agradeço a todos.