在我正在处理的当前网站上,我有一个文件目录供用户下载,如果有一些安全方法而不是晦涩难懂,那真是太好了;)
我想知道是否有任何方法可以通过 PHP 向 htaccess 提供登录信息,就像用户正在输入它一样。
另外,如果有人知道使用 PHP 保护用户下载的更好方法,那也是可以接受的。我所有的谷歌搜索都显示“只使用 htaccess”,这并没有真正的帮助,因为从非精通用户的角度来看,他们每次使用该网站时都必须登录两次。
我最好的猜测是只使用 PHP 将文件存储在 web 根目录之上,然后将它们临时复制到 web 可访问文件夹,但这似乎效率很低,我想不出任何方法来删除它们之后下载完成。
注意:我不拥有正在运行的服务器,也没有 ssh 访问权限。
【问题讨论】:
如果文件不是太大 (Gb),您可以随时使用readfile 下载文件。在这种模式下,您可以检查用户之前的身份验证,如果可以,则将文件内容输出给用户,否则将他发送到登录页面。
使用这种方法,您可以将文件放在受保护的(使用 .htaccess)目录中,这样您就可以确保未经身份验证的任何人都无法访问它们。
【讨论】:
我想我要么将它们存储在 web 根目录之外的文件夹中,要么将它们存储在受 .htaccess 保护的文件夹中,然后使用 php 脚本检查用户是否已登录并允许下载请求的文件。如果他是,那么只需pass the file through 给用户。
来自 php.net 链接页面的示例:
示例 #1 使用 fpassthru() 处理二进制文件
<?php // open the file in a binary mode $name = './img/ok.png'; $fp = fopen($name, 'rb'); // send the right headers header("Content-Type: image/png"); header("Content-Length: " . filesize($name)); // dump the picture and stop the script fpassthru($fp); exit; ?>
其他人评论说必须报告正确的内容类型,这是真的。通常,根据我自己的经验,我已经知道它,或者可以很容易地使用文件扩展名。否则,您可以随时尝试查看finfo_file。在那个页面上,还有一些关于你可以做什么特别是图像的 cmets。
【讨论】:
您应该使用 php 脚本来控制访问。 在 webroot 外部或 webroot 内部创建一个 .htaccess 目录,您可以在其中放置下载文件。
网站根目录更好。
如果这些文件位于其中,您必须确保没有人可以访问这些文件。
然后从 pear 类库中获取。 http_download 类。
使用这个类有很多好处。
您不应使用 readfile 或任何转发文件指针,因为您必须自己设置标头并且不支持 http“范围”。
对于访问限制,您可以使用会话管理器、密码、框架、论坛等。
pear - http_download http://pear.php.net/package/HTTP_Download
您需要复制 url,因为 SO 将其编码为 url 编码的字符串(这是正确的),但 PEAR-homepage 不喜欢这样。
【讨论】:
为什么要重新发明轮子?看看File Thingy,它很容易安装和定制。如果不出意外,您可以研究源代码以了解如何执行身份验证步骤。
【讨论】:
我认为第一个选项更好。
【讨论】:
使用X-SendFile!有适用于 Apache、Lighty 和 Nginx 的扩展,因此很有可能有一个适用于您的网络服务器。
安装扩展后,您可以使用 PHP 脚本对用户进行身份验证,然后添加标头:
header('X-SendFile','/path/to/file');
当您的 PHP 脚本完成后,它将触发网络服务器为您流式传输文件。如果您将 PHP 与 FastCGI 一起使用,这将特别有效,因为它可以释放 PHP 进程以进行其他工作。
永远
【讨论】: