Bonjour,
 
Voici mon problème : sur mon site, les utilisateurs se connectent via login/mot de passe (base de users mysql) et je gère tout le reste avec des sessions PHP.
 
Il s'agit d'un petit site qui permet d'afficher des albums de photos.
 
Je voudrais donc protéger les dossiers qui contiennent les photos pour empêcher un accès non autorisé, je souhaite donc naturellement utiliser un .htaccess.
 
Mais comme mes utilisateurs sont déjà authentifiés par PHP, je ne veux pas leur redemander de s'authentifier en HTTP.
 
Comment faire pour automatiquement paramétrer le PHP_AUTH_USER et le  PHP_AUTH_PWD pour passer l'authentification automatiquement pour mes users connectés ?
 
Merci !

Personne n'a d'idée là dessus ?

C'est ton idée qui n'est pas bonne là.
 
Je te conseillerais plutot de protéger ton répertoire de photos avec un .htaccess contenent :
deny from all
 
Ensuite tu utilise un script php pour l'affichage de tes images.
Celui-ci recoit en paramètre l'image que l'on souhaite afficher, vérifie les droits, et lit l'image et l'envoit si tout est ok.

Ou au pire si tu tiens vraiment à gérer les droits au niveau répertoire, tu fais une authentification http + .htaccess et si besoin au niveau php tu as les 2 variables que tu cites (si sous apache)

Merci pour vos conseils, je regarde ça...

Dwogsi, ton système me semble sympa, mais je n'arrive pas à l'appliquer.
 
J'ai placé un .htaccess dans mon dossier, mais maintenant mes images ne s'affichent plus dans mes scripts PHP, du type :
 

 
Comment ferais-tu pour que le .htaccess autorise la lecture par mon script PHP, ou comme tu dis pour que le script vérifie les droits ?

Ralala, encore une fois il faut comprendre comment ça marche avant de faire un truc bancal et crier au secours.
 
Vu que tu m'as l'air plus débrouillard que bien d'autres quelques explications:
- tu tapes une adresse dans ton navigateur
- tu accèdes à un serveur HTTP (web)
- tu lui demandes ce que tu as tapé en adresse (derrière le nom de domaine)
- il te sert la page ET ce qui pourrait être inclu (images, fichier liés genre css, js...)
- si c'est un langage de script, le serveur demande l'interprétation avant de te servir le résultat qui doit être une ressources compréhensible par le navigateur et identifié en tant que tel (type mime)
 
Donc ton .htaccess agit au niveau du serveur HTTP auquel tu dis de ne pas autoriser l'accès à ces ressources! Tu peux y accéder via le système de fichier néanmoins puisque ça passe pas par le serveur HTTP (ie php dans notre cas)
 
 
C'est donc normal que tu puisses pas accéder à tes images si elles sont dans un dossier ou sous dossier qui est interdit d'accès.
 
Faudrait que tu mettes tes ressources que tu veux pas bloquer dans un dossier pas bloqué

Moi je disais quelque chose comme ça :

echo '<img src="mes-script-ou-ya-pas-de-htaccess/getImage.php?img=fichier.jpg" alt="blabla" />';

Et ensuite getImage.php :

<?php
// Vérification des droits de l'utilisateur/visiteur
 
// Si tout est ok
// Ya plus qu'a faire quelque chose comme ça :
header('Content-Type: image/jpg');
echo file_get_contents('mon-rep-avec-htaccess/'.$_GET['img']);
?>

(Script à améliorer)

Comme ça ton .htacces protége les accès directes aux images et ton script les envoit seuleument si l'utilisateur/visiteur est autorisé à les visualiser.

la question est de savoir si on veut vraiment (et doit surtout) protéger les  images
 
Parce que charger le serveur pour ça, c'est la même avec les css après, bref beaucoup de ressource pour pas grand chose.  
 
Mais c'est un choix à faire en fonction de ce que l'on veut, moi juste pour ce qui doit être servi comme ça je ferais un répertoire libre d'accès à côté de l'accès restreint.

Ok, merci pour vos réponses.
 
Dwogsi, je vais essayer de mettre en pratique ton exemple, qui est astucieux.
 
Leflos5, pour répondre à ton interrogation, ma démarche a pour but de cloisonner complètement mon site, je ne veux donc pas que l'on puisse accéder à la moindre ressource sans être authentifié.
 
Mon petit site ne sera pas hébergé chez un FAI, mais sur un serveur perso, dédié à ça, avec une très faible audience, donc je n'ai pas d'inquiétude quant aux perfs de la machine.

SUPER !!
 
Ca marche !
 
Merci beaucoup.

fais bien attention au type de donnée que tu envois, te fie pas forcément aux extensions mais aussi aux résultats des fonctions te permettant d'évaluer tel ou tel type, en l'occurence surtout pour les images

Tu veux dire vérifier qu'il s'agit bien d'un fichier du type correspondant à l'extension avant de l'envoyer avec un type MIME ?

C'est ça Même si c'est pour ton usage perso, si tu veux verrouiller autant faire les choses proprement.
 
Tu peux très bien avoir du php, un éxécutable, bref tout sauf une image dans un .jpg

OK, je vais faire ça, merci pour le conseil.