Hallo Marco,

beschreib doch mal Dein Login-Verfahren, was Du da machst.
Wie hast Du denn die Abmeldung implementiert?

Außerdem habe ich den Eindruck, dass Dein Dokument.doc unterhalb (innerhalb) der Dokument-Root gespeichert ist. Da bekommst Du natürlich keine Sicherheit, es sei denn, du verbietest dem Apachen über einen direkten http-request auf das Verzeichnis zuzugreifen. Nur dann kann auch der PHP-Deamon nicht mehr zugreifen, denn der hat in aller Regel die gleiche Gruppe, den gleichen User wie der Apache.

Lege Deine Dokumente außerhalb der Dokument-Root oder zur Not auch als Blob in eine Datenbank. Dann benötigst Du ein Script, dass das angeforderte Dokument ausliefert und dieses Script sollte dann erst die Auth-Daten prüfen und ggf. die Sessiondaten (Alter der Session) usw.

Ich sehe da keinen anderen Weg. Vielleicht sind die Anderen da anderer Meinung?

Liebe Grüße aus http://www.braunschweig.de

Tom