编辑:我们允许在提交简单表单后下载我们的产品。
为了避免“非法网站”的所有者了解我们的产品下载位置,我正在考虑在每次下载后重命名下载文件夹。
我如何在 PHP 中做到这一点?
【问题讨论】:
相反,验证经过身份验证的会话,然后通过 PHP 流式传输下载。
那么如果有任何非法网站试图下载你的文件,他们会发现他们需要先进行身份验证。
【讨论】:
不要重命名目录。如果多个用户同时下载文件,它将中断。而是通过 PHP 提供文件,例如:
<?php
// We'll be outputting a PDF
header('Content-type: application/pdf');
// It will be called downloaded.pdf
header('Content-Disposition: attachment; filename="downloaded.pdf"');
// The PDF source is in original.pdf
readfile('original.pdf');
?>
【讨论】:
是的,你可以使用rename PHP 函数来做到这一点,但有什么奇怪的方法?您最好为可以通过 HTTP 请求访问和不能访问的文件自定义访问设置。让注册用户下载文件并使用用户会话 cookie 从机器人中识别真实用户,如果这些文件非常重要,则可能添加验证码。
【讨论】:
一种可能的解决方案可能是执行 PHP 系统调用以创建到安装程序的临时软链接,并在固定时间后删除该软链接。
但实际上,在保护您的安装程序方面,您似乎有一个错误的想法。
【讨论】:
一个好方法是使用 .htaccess 和 key 的组合
.htaccess
RewriteEngine On
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteRule ^([^\.]+)/([a-z0-9]+/i)$ serve.php?file=$2&key=$1 [NC,L]
在有人购买您的文件后,在 mySQL 中的客户帐户中设置密钥和 ip,通过电子邮件 (http://yoursite.com/key1234567/your.pdf) 向他们发送下载链接,注意他们只能下载一次
用户点击下载
然后使用serve.php
您在该帐户中对照那里的 ip 检查密钥并标记为已下载
sql check on ip and key match
if($allowedToDownload===true){
header('Content-type: application/pdf');
// It will be called downloaded.pdf
header('Content-Disposition: attachment; filename="downloaded.pdf"');
// The PDF source is in original.pdf
readfile('hidDen_ArEa/'.basename($_REQUEST['file']));
}
【讨论】:
没有什么私人的,但这不是最聪明的主意。
检查$_SERVER['HTTP_REFERER'] - 如果此变量非为空且不包含预下载页面的地址,则将用户重定向到您的某些预下载页面。
编辑:检查HTTP_REFERER 并不是 100% 防止僵尸程序,但其他方法(例如身份验证)可能对用户来说更烦人。
此外,还可以使用会话或 cookie(带有临时令牌)。
【讨论】:
HTTP_REFERER 不能被信任。在某些用户环境中,它可能始终为空,即使用户没有恶意。
HTTP_REFERER 这是最简单的方法。
目前最好的解决方案如下:http://www.devshed.com/c/a/PHP/Simple-and-Secure-PHP-Download-Script-with-Limits-Tutorial/。
感谢大家指导我采用这种方法。
【讨论】: