Begrænset adgang for uploaded billede

Jeg er ikke skide go til C#.. men jeg har lavet følgende, som sender et billede til folk der ikke er logget ind, som har session[user] == null..

ellers henter den fra databasen, skalerer billedet efter querystrengen, og sender det..

jeg har så lavet noget url rewriting.. så jeg kalder mine billeder med:

<img src="/img/[højre]/[bredde]/[database id]/etellerandet.jpg" />

Jeg bruger følgende :

using System;
using System.Collections.Generic;
using System.Data;
using System.Configuration;
using System.Collections;
using System.Data.SqlClient;
using System.Drawing;
using System.Drawing.Drawing2D;
using System.Drawing.Imaging;
using Modeltypes.Util.Sql;
using Image=System.Drawing.Image;

public partial class Controls_Core_ImageControl : System.Web.UI.Page
{
    Bitmap bm;
    protected void Page_Load(object sender, EventArgs e)
    {
        if(Session["User"] == null)
        {
            bm = new Bitmap(Server.MapPath("~/Files/Themes/Default/SystemImages/noHotLink.jpg"));
            bm.Save(Response.OutputStream, ImageFormat.Jpeg);
            bm.Dispose();
            Response.End();
        }
       
        Database DB = new Database();
       
        List<SqlParameter> sqlParam = new List<SqlParameter>();
        sqlParam.Add(DB.SqlParam("@pictureID", pictureID.ToString(), SqlDbType.Int));
       
        DataTable dt = new DataTable();

        dt = DB.getDataTable(Stored_Procedures.System_GetImage, sqlParam);
       
        if(dt.Rows.Count > 0)
        {
            bm = new Bitmap(Server.MapPath("~/Files/Users/" + dt.Rows[0]["bookingnr"].ToString() + "/" + dt.Rows[0]["Filename"]));

            bm = ImageHandler.FixedSize(bm, width, height);

            bm.Save(Response.OutputStream, ImageFormat.Jpeg);
            bm.Dispose();
            Response.End();
        }
        else
        {
            //Billedet eksisterer ikke i DB
        }
    }
   
    private int width
    {
        get
        {
            int i = Convert.ToInt32(Request.QueryString["width"]);
            int j = ImageHandler.maxWidth;
            if(i < j)
                return i;
            return j;
        }
    }

    private int height
    {
        get
        {
            int i = Convert.ToInt32(Request.QueryString["height"]);
            int j = ImageHandler.maxHeight;
            if (i < j)
                return i;
            return j;
        }
    }

    private int pictureID
    {
        get
        {
            return Convert.ToInt32(Request.QueryString["pictureID"]);
        }
    }
}


du skal altså bare bruge det der står inde i if(Session["User"] != null) og smide en else på der gemmer det korrekte billede i response'en..

sig til hvis det driller

hvis billedet serves direkte af IIS, så er adgangen jo ikke styret af ASP.NET d.v.s.
at det er IIS config du skal ind i

hvis billedet serves fra en ASP.NET page så kan du styre det

Tak til jokkejensen for forslaget. Jeg kan ikke lige helt gennemskue det, og hvorfor adgangen skulle være begrænset.

Til arne_v: Hvad mener du med at 'billedet serves fra ASP.NET'?
Jeg har en ASP.NET webserver som genererer siden som billdet vises på.

I sidste ende hentes billedet jo ved et HTML-tag:
<img id="billedID" src="images/mit_billede.gif"/>

Og i så fald kan man vel altid hente billedet direkte ved at bruge samme adresse som der hvor html siden får billedet fra. Eller er jeg helt galt på den?

"billedet serves fra ASP.NET" er det som jokkejensen ogsaa beskriver

ikke

<img id="billedID" src="images/mit_billede.gif"/>

men

<img id="billedID" src="imagefetcher.aspx?img=mit_billede.gif"/>

fordi imagefetcher.aspx kan checke om man er logget ind

Hvis jeg har forstået jer ret, så henter man altså ikke billedet direkte, men indirekte gennem imagefetcher.aspx, som ikke returnerer en html-side men et billede. Og det gør den så med:
'bm.Save(Response.OutputStream, ImageFormat.Jpeg);'

Hvis du benytter asp.net 2.0, og har din app. liggende på en 2003 server med IIS6.0, kan du bare sætte beskyttelse på folderen på helt almindelig vis - f.eks. kun give adgang til brugere der er logget ind.
Mvh

Snepnet: Jeg har ikke adgang til at kunne konfigurere min server selv da det er ved et webhotel. Jeg har ftp-adgang til at uploade min application, og en enkelt database at arbejde med.

I øvrigt bruger jeg Session-variabler til at holde styr på login. Ville dette i så fald kunne køre sammen med det du omtaler

Til jokkejensen

Med baggrund i dit fine eksempel har jeg nu fået det til at virke. Hvis du smider svar får du point.

Jokkejensen vil du smide et svar, så får du point. Endnu en gang, tak for hjælpen.

Benytter du det indbyggede login-system - eller har du lavet dit helt eget?
Mvh

Jeg har lavet mit eget. Jeg syntes at det virkede mere simpelt.

lukker spm