Dateidownload einschränken php

Habe ich dies in meinem code:

<a href = "res/pdf/sample.pdf">Sample PDF</a>

Also im Grunde, es erscheint ein download-link zu Datei 'Beispiel.pdf', aber das problem ist, es gibt eine Beschränkung in diese Datei herunterzuladen. also, wenn es vertrauliche Berichte hochgeladen und ein böswilliger Benutzer versehentlich gespeichert oder angezeigt werden die URL der download-link in die browser-history kann er sich ganz einfach laden Sie es auch ohne Zugriff auf die website, weil es eine direkte Verbindung. Was soll ich denn machen, so dieser link ist geschützt? oder heruntergeladen werden nur für die Benutzer zugewiesen werden?

InformationsquelleAutor John Micah Fernandez Miguel | 2012-06-01
  1. 6

    Nicht dazu dienen, die Dateien, die durch Ihre direkte URLs. Habe ein PHP-Skript erhält den Dateinamen von der Datei wollte, und servieren es.

    So, wenn jemand will, um laden Sie die Dateien, die er gehen würde, um

    example.com/getfile?file=sample.pdf

    PHP-Skript zu überprüfen wäre, ob der aktuelle Benutzer die Berechtigung hat, die Datei anzuzeigen, und dann servieren Sie es auf.

    Machen Sie Ihre links wie diese:

    <a href = "http://example.com/getfile?file=sample.pdf">Sample PDF</a>

    Ihre aktuelle Methode ist sehr unsicher für sensible Dateien. Ein böswilliger Benutzer könnte trivial schreiben Sie ein Skript, um ALLE Dateien herunterladen in res/pdf. Alles, was er tun muss, ist zu überprüfen, jede permutation der Buchstaben in dem Verzeichnis, und wegwerfen, alle 404-Fehler.

    Werden Sie nicht, leiten Sie den Benutzer, da dies die Niederlage der Zweck. Sie bedienen die Datei als download mit den entsprechenden Content-disposition header.

    Hier ein Beispiel: Schnellste Weg zu einer Datei Mit PHP

    Können Sie google-und bekommen viele weitere Beispiele.

    Hier ist ein gutes Beispiel, das zeigt, wie dienen PDF-Dateien:
    https://serverfault.com/questions/316814/php-serve-a-file-for-download-without-providing-the-direct-link

    • also immer wenn ich diese Methode verwenden. im Grunde, wird es eine Umleitung auf die getfile.php. so auf, dass getfile.php die URL wird sich noch ändern?? können Sie mir bitte einige Beispiel-manipulation auf der Skript, in dem ich übergeben dieser Werte. Tut mir Leid, ich bin ein noob
    • Sicher, aber ich sehe nicht, wie es ist "trivial", die zum herunterladen aller Dateien eines bestimmten Verzeichnisses, es sei denn, die Dateien sind aufgeführt, die beim Zugriff auf das Verzeichnis direkt. Sie scheinen zu unterschätzen ist der Betrag von file name Permutationen.
    • Man müsste nur mal überprüfen, für jede permutation als Dateinamen in diesem Verzeichnis. Dieser Prozess kann leicht parallelisiert werden und laufen für ein paar Tage. Ich würde sagen, das ist ziemlich trivial, wenn das Verzeichnis speichert corporate Geheimnisse.
    • siehe edit
    • Ich Schätze die Anzahl von Datei-Namen Permutationen, aber wenn die Daten wertvoll genug ist, könnte man leicht mieten einige cloud-computing-Zeit und haben Tausende von parallelen threads gleichzeitig ausgeführt werden.
    • Sagen wir mal die Datei Namen sind max 20 Zeichen lang sein und Buchstaben sowohl groß-und Kleinschreibung sowie einige Satzzeichen, 70 verschiedene Zeichen insgesamt, und Sie können überprüfen, 1000 Dateinamen pro Sekunde. Diese sind alle sehr großzügig Annahmen. Selbst dann, die überprüfung aller Permutationen von 2.53^26 Jahre - das Alter des Universum ist rund 13,7^9 Jahre. Auch die überprüfung mit 10 Zeichen langen Namen, mit 40 verschiedenen Zeichen (groß-und Kleinschreibung) nehmen würde 332,500 Jahren.
    • Sie haben einen Punkt. Vielleicht auch nicht trivial, um ALLE Dateien zu erhalten, aber es ist sehr möglich, EINIGE Dateien, die ziemlich schlecht als gut.
    • Vielen, vielen Dank! 🙂 Sie meinen Tag gerettet.

    InformationsquelleAutor xbonez
  2. 0

    Können Sie einschränken, mit htaccess

    • wie, wie? können Sie bitte geben Sie mir ein Beispiel. Dank
    • Sie können den HTTP_REFERER, check-out die ähnliche post stackoverflow.com/questions/4654944/...
    • dies scheint eher wie ein Kommentar als eine Antwort
    InformationsquelleAutor Muthu Kumaran
Schreibe einen Kommentar