Witam!
Pracuje nad strona, gdzie user po zalogowaniu bedzie mogl wyswietlic/pobrac wczesniej wybrany obraz. Zastanawiam sie jak schowac wszystkie obrazy, by byly niedostepne dla innych userow i osob niezalogowanych.
Myslalem nad wrzuceniem obrazow do bazy danych, ale na moim serwerze mam zaledwie 200mb na baze danych.

Pomysl na jaki wpadlem to:
Utworzyc folder na serwerze, w ktorym beda wszystkie obrazy. Dla tego folderu i wszystkich obrazow wewnatrz ustawic chmod, zeby dostep do nich mial jedynie serwer (btw. jaki to chmod bedzie? ). Napisac prosty skrypt php, ktory sprawdzi sesje, czy uzytkownik jest zalogowany, potem sprawdzi w bazie danych czy dany uzytkownik powiniem miec dostep do tego obrazka - jesli tak skrypt php zwroci obraz pobrany z zabezpieczonego folderu.

Czy moj pomysl jest dobry? Czy jest bezpieczny? Czy istnieje mozliwosc obejscia tych moich zabezpieczen?

1. chyba najbardziej sensowny
2. zależy od samego skryptu
3. patrz: #2

Możesz zastosować coś w tym guście (w .httaccess):

[HTML] pobierz, plaintext 
AddType text/html .jpg
[HTML] pobierz, plaintext 

Wtedy wpisanie bezpośredniego adresu do pliku w przeglądarce spowoduje, że plik .jpg będzie traktowany jako tekstowy.

A co z grafika szablonu, ktora rowniez jest w .jpg? Bedzie sie wyswietlac?

Tak, grafika będzie się wyświetlać bez problemu, jedynie bezpośredni dostęp do obrazka będzie zablokowany.

I co z tego, jak sobie będę mógł go ściągnąć klikając PPM "Zapisz element docelowy"?

Z tego co zrozumiałem, to konkretne obrazy mają być wyświetlane dla konkretnych userów, a nie że od razu jest już gotowa i pełna lista, a sposób ten pozwala tylko na zabezpieczenie nieautoryzowanego dostępu, np. jeśli ktoś zna ścieżkę do pliku. Oczywiście można to obejść poprzez hotlinkowanie, co też należałoby wyłączyć na serwerze. Przecież poprzez zmianę chmod w identyczny sposób można zapisać plik na dysk, tj. zapisz element docelowy.

Ale czy Ty rozumiesz...? Z tego, co zauważyłem, to Chrome jest w stanie wyświetlić obrazek nawet z niepoprawnym MIME.

Poza tym chodzi tu o zablokowanie dostępu dla innych, a nie tylko o utrudnienie. Twoja metoda nie blokuje. Odpalę sobie w konsoli:


który serwuje obrazek wg Twojej metody i jaki będę miał problem? Żaden.

Dostep do katalogu z obrazkami zablokowac dla kazdego, gleboko ukryc(srednie ale proste rozwiazanie) lub umieszczac w katalogu, do ktorego za pomoca przegladarki sie nie dostaniemy.
Obrazki serwowac poprzez skrypt php
np.

[PHP] pobierz, plaintext 
<?php
if($ma_dostep){
Header('Content-Type: image/jpeg');  
readfile('/sciezka/do/pliku.jpg');
}
?>
[PHP] pobierz, plaintext 

pamiętaj zabezpieczyc skrypt przed LFI jezeli bedziesz uzywal np. $_GET