【发布时间】:2013-11-19 09:11:14
【问题描述】:
让用户将文件上传到目录并禁止从任何用户/客户端下载这些文件的最佳和最安全的方法是什么?只能通过 ftp-client 下载文件。
或者我应该通过 php-script 将上传的文件从上传目录移动到另一个 .htaccess-protected 文件夹?
【问题讨论】:
【发布时间】:2013-11-19 09:11:14
【问题描述】:
只需在目录中放一个.htaccess,内容如下:
Order deny,allow
Deny from all
现在无法从 Internet 进行任何访问,因此无法下载。由于上传是用 PHP 管理的(我假设你提到它),它仍然可以正常工作,因为 .htaccess 不会影响 PHP 脚本对该目录的访问(move_uploaded_file() 仍然是可能的)。
【讨论】:
您可以使用<Limit> 指令采取这种方法:
- 允许 PUT 方法并使用 PUT 进行上传
- 禁止 GET、POST、DELETE 方法
例如在uploads/.htaccess file中添加这个:
<Limit POST GET DELETE>
deny from all
</Limit>
【讨论】: