php文件夹和文件权限

Question

我对文件夹和文件权限的工作方式有一些疑问。假设我在“受保护”之外有用户目录，如下所示..

users
  -- usera
    -- docs
  -- userb
    -- docs
protected

我不希望没有权限的用户 B 访问用户 A 目录中的任何内容。另外，我不希望任何人通过 url 链接访问目录目录。基本上我只是希望用户能够访问他们自己的目录，而不是其他人。怎么办？

谢谢！

Answer 1

如果没有更多信息，我的建议是确保用户目录位于 Web 根目录之上。这将防止它们被链接到。然后创建一个 PHP 脚本来验证用户是他们所说的那个人。知道登录用户的身份后，您可以使用 fpassthru() (http://php.net/fpassthru) 或类似方法将文档传递给用户。

Answer 2

我在这里回答了一个类似的问题limiting users to subdirectories，您应该可以根据自己的需要进行调整，我也在这里复制了它。

下载.php

<?php
/** Load your user assumed $user **/

$file = trim($_GET['file']);

/** Sanitize file name here **/

if (true === file_exists('/users/user'.$user->id.'/'.$file)) {
   //from http://php.net/manual/en/function.readfile.php
   header('Content-Description: File Transfer');
   header('Content-Type: application/octet-stream');
   header('Content-Disposition: attachment; filename="'.$file.'"');
   header('Content-Transfer-Encoding: binary');
   header('Expires: 0');
   header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
   header('Pragma: public');
   header('Content-Length: ' . filesize($file));
   ob_clean();
   flush();
   readfile($file);
   exit;
} else {
   throw new Exception('File Not Found');
}

.htaccess 拒绝所有直接文件下载

deny from all

然后您将使用 /download.php?file=filename.ext 链接到文件夹，它只会从当前用户的用户目录下载该文件。

您需要确保清理输入文件名，以免受到目录横向攻击。