Download-Modul mit erzwungenem (forced) download

[fsiebert1977]

Hi zusammen,

wie könnte man ein Downloadmodul machen, bei dem browser- und dateiunabhängig beim Klick auf den Downloadlink ein Download durchgeführt wird? Normalerweise ist es ja so, dass z.B. beim Link auf ein JPEG, dieses beim Klicken auf den Link einfach im Browser angezeigt wird. Ich möchte aber gerne, dass sich ein Download-Dialog öffnet. Das ist doch bestimmt irgendwie per PHP möglich, oder?

Hat jemand eine Idee?

[Thomas.Blum]

Hej,

ale Dateien als zip oder rar komprimiert abspeichern.

Thomas

[fsiebert1977]

Es gibt doch bestimmt auch eine andere Methode, oder? Ich habe gelesen, dass man das irgendwie über Header-Informationen machen kann. Da gibt es irgendwie sowas wie content:application-x/download.

[Jan.Kristinus]

hi,

probier mal das hier:
wenn das klappt bitte im wiki aufnehmen..

Code: Alles auswählen

<?php

header("Expires: Mon, 01 Jan 2000 05:00:00 GMT"); // Date in the past
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");// always modified
header("Cache-Control: no-store, no-cache, must-revalidate");// HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Cache-Control: private");
header("Pragma: no-cache");

header("Content-Type: $file_type; name=\"$file_name\"");
header("Content-Disposition: attachment; filename=\"$file_name\"");

// hier kommt die datei als rohdatei
if ($fp = fopen ("$file_path", "r"))
{
  fpassthru ($fp);
  fclose($fp);
}

?>

vorher noch den dateinamen übernehmen und kontrolle ob der dateiname nicht auf unerlaubte bereiche zugreift.. stell dir z.b. mal einen dateinamen vor der "/etc/xyz" oder so heisst ...

gruss
jan

[fsiebert1977]

Hmmm... kann man das einfach so in ein Modul packen? Bei mir setzt er dann den Header schon, wenn man die Downloadseite aufruft und lässt einen gleich die nächstbeste Datei runterladen Oder muss man das ganze in eine Funktion wursteln und diese dann über den Downloadlink aufrufen? Und wenn ja, wie werden die Headerdaten dann wieder zurückgesetzt?

Danke für deinen Tipp.

[Markus.Staab]

Hi,

vor den headern noch ein ob_clean(); machen

Gruß,
Markus

[fsiebert1977]

Hi Markus,

meinst du im Modul? Hat bei mir nichts gebracht. Das ist doch wahrscheinlich, um die Header nachher wieder zurückzusetzen, oder?

[Jan.Kristinus]

hi,

das laeuft über einen umweg..

1. du erstellst einen artikel .. dieser ist dann dein downloadartikel..
2. du erstellst ein modul in welchem der link nicht direkt auf die datei geht, sondern auf diesen downloadartikel. in dem link übergibst du den dateinamen (REX_LINK[1]) insgesamt etwa sowas:

Code: Alles auswählen

<a href=index.php?article_id=XX&dateiname=REX_LINK[1]>REX_LINK[1]</a>

in dem downloadartikel fragst du dann den dateinamen ab:

Code: Alles auswählen

$file_name=$_REQUEST['dateiname'];

und dann kommt der rest von oben... dann noch - das habe ich ganz vergessen - den mimetype angeben ..

Code: Alles auswählen

$file_type = "application/octetstream";

das ist keine redaxo funktion die du hier verwendest, sondern einfach nur php.. das ist auch das schoene (und manchmal das schwierige) an redaxo.. du kannst deinen eigenen php code verwenden und dir eigene loesungen überlegen und bist nicht festgelegt..

lg

jan

[fsiebert1977]

Super Klasse! Hat funktioniert
Zu bestaunen hier: http://paddocks.softloop.biz/index.php? ... 14&clang=0

Ich habe noch ein Auslesen der Dateigröße integriert, damit der Benutzer weiss, wie groß die Datei ist, die er gerade downloadet.

Hier mein Eintrag im Wiki: http://wiki3.redaxo.de/index.php?n=R3.ForcedDownload

Vielen Dank für die Hilfe!

PS. Getestet ist das ganze in IE 6.0, Firefox und Safari. Was ich jetzt nicht getestet habe, ist das mit dem Zugriff auf unerlaubte Verzeichnisse. Was genau kann da passieren?

[Markus.Staab]

PS. Getestet ist das ganze in IE 6.0, Firefox und Safari. Was ich jetzt nicht getestet habe, ist das mit dem Zugriff auf unerlaubte Verzeichnisse. Was genau kann da passieren?

Der User kann jede erdenkliche Datei von deinem Webserver herunterladen...

du musst sicherstellen, dass keine ".." und keine "/" in dem Dateinamen vorhanden sind...

z.b. kann ich die index.php von redaxo herunterladen:
http://paddocks.softloop.biz/index.php? ... /index.php

Gruß,
Markus

[fsiebert1977]

Argl!

[Jan.Kristinus]

hi,

noch viel besser ..
wir laden uns jetzt einfach mal die master.inc.php runter

gruss

jan

[Markus.Staab]

Argl!

Viel schlimmer ist, das man damit auch die Dateien in denen die Zugangsdaten zu deinem Telnet account etc herunterladen kann.

Das MUSS dicht gemacht sein!!

Code: Alles auswählen

if ( strpos( $fileName, '..')  === false && strpos( $fileName, '/') === false && strpos( $fileName, '\\') === false) {
  echo 'Alles ok';
  // hier Datei an Browser schicken.
} else {
  echo 'Angriff';
}

Nach dem Ändern des Codes, alle Passwörter ändern...

Gruß,
Markus

[fsiebert1977]

na toll... auf welche Paßwörter kann es denn Zugriff gegeben haben? Nur REDAXO, oder???

Irgendwie spuckt er jetzt nur noch ne Fehlermeldung aus...

Code: Alles auswählen

Parse error: parse error, unexpected $ in /var/www/vhosts/softloop.biz/subdomains/paddocks/httpdocs/redaxo/include/classes/class.article.inc.php(176) : eval()'d code on line 29

Habe das jetzt so implementiert:

Code: Alles auswählen

<?php
$fileName= $_REQUEST['fileName'];
$fileType = "application/x-download";
$filePath = $REX[HTDOCS_PATH].'files/'.$fileName;
$cLength = filesize($filePath); //store filesize for user information

if ( strpos( $fileName, '..') === false && strpos( $fileName, '/') === false && strpos( $fileName, '\') === false) {
header("Expires: Mon, 01 Jan 2000 05:00:00 GMT"); // Date in the past
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");// always modified
header("Cache-Control: no-store, no-cache, must-revalidate");// HTTP/1.1
header("Cache-Control: post-check=0, pre-check=0", false);
header("Cache-Control: private");
header("Pragma: no-cache");

header("Content-Type: $fileType; name=\"$fileName\"");
header("Content-Disposition: attachment; filename=\"$fileName\"");
header("Content-Length: ".$cLength);

// here the file as raw data
if ($fp = fopen ("$filePath", "r"))
{
  fpassthru ($fp);
  fclose($fp);
}

} 


?>

Was mache ich falsch? Ich glaub ich hab Tomaten auf den Augen...

[Markus.Staab]

na toll... auf welche Paßwörter kann es denn Zugriff gegeben haben? Nur REDAXO, oder???

Nein, jede Datei auf dem server.

versuch halt mal hinten mit /etc/hosts o.ä.....

schon der alleinige Zugriff auf die master.inc.php würde dazu führen, dass wir deine mysql Datenbankinfos hätten. Jetzt muss man nur noch den phpmyadmin finden, und schon kann man deine ganze Seite editieren...

Wegen dem Parse error:
Naja das sollte ja mal kein Problem sein...

[fsiebert1977]

da muss man ja echt höllisch aufpassen...

[fsiebert1977]

Ah, jetzt hab ich den Fehler:

if ( strpos( $fileName, '..') === false && strpos( $fileName, '/') === false && strpos( $fileName, '\\') === false) {
echo 'Alles ok';
// hier Datei an Browser schicken.
} else {
echo 'Angriff';
}

Das "\" musste ja noch escaped werden.

Scheint jetzt ok zu sein, oder könnt ihr noch eine Sicherheitslücke entdecken?

[Markus.Staab]

ich glaub "~" muss noch raus.

"~" steht bei linux für das home verz des aktuellen users...

[fsiebert1977]

Habs korrigiert (auch im Wiki)