Запрет прямого доступа к личным файлам

[skitskis]

Добрый день!

Необходимо запретить прямой доступ к фалам для неавторизованных пользователей сайта. Сам сайт полностью закрыт, попасть на него возможно только после авторизации. Пользователь может загрузить на сайт свои фалы (картинки, pdf, архивы, word, exel и т.д.).

Если знать прямой путь к фалу, то его можно просматривать без авторизации.
Как более грамотно защитить фалы пользователя от прямого доступа?

Спасибо!

[skitskis]

Возможно ли проверит наличие сессии через .htaccess, если она существует, то отдать пользователю в ответ файл, если нет, то перенаправить на страницу авторизации?

[psiklop]

Создай для каждого пользователя директорию из хеша sha1 к примеру с названием, и при каждой авторизации переименовывай ее.

[psiklop]

Но это конечно имеет изьяны, вот способ получше:

У юзера своя директория создается при регистрации, к примеру хеш от логина и времени регистрации.

В директории создается .htaccess такого содержания
RewriteEngine on
RewriteCond %{HTTP_COOKIE} !access=имя директории
RewriteRule ^ - [F,L]

При авторизации ставится кука 'access' с именем этой директории.