揭秘PHP安全文件下载技术,防止路径泄露与盗链
通常文件下载过程是十分简单的,建立一个链接指向到目标文件就可以了。例如下面的链接:
-
- [a href="http://www.xxx.com/xxx.rar"]点击下载文件[/a]
但是,实际情况可能会稍复杂。比如需要用户填写完整注册信息后才可以下载该文件,这时最先想到的是使用Redirect的方式。下面介绍两种方式。
(1)用Redirect方式。先检查表格是否已经填写完毕和完整,然后将链接指到该文件,这样用户就可以下载。请看下面的示例代码:
-
- ?php
- /*文件功能:检查变量form是否完整*/
- if($form){
- //重新定向浏览器指向
- Header("Location: http://www.xxx.com/xxx.rar");
- exit;
- }
- ?
(2)根据下载文件的序号来查找,链接的形式如下:
-
- [a href="http://www.xxx.com/download.php?id=123456"]点击下载文件[/a]
上面的链接使用ID方式接收要下载文件的编号,然后再用Redirect的方式连接到真实的文件链接。
以上这两种方法虽然实现了文件的下载功能,但是缺点是直接暴露了文件所属的路径,而且没有防盗链的功能,所以上面的方式是简单直接但存在安全隐患的文件下载方式。在PHP中,通常是利用header()函数和fread()函数来实现安全的文件下载。
例如,需要下载的是一个文件名为xxx.rar的文件,首先创建文件是download.php的PHP文件。通过前面的例子很容易通过文件的ID号从数据库中得到待下载文件的真实位置,在获得文件的真实存储位置后,可以通过header()函数的location参数直接重定向到这个文件。但是这样仍然是不安全的,因为某些下载软件还是可以通过重定向分析获得该文件的位置信息。因此需要用另外一种方法,就是PHP的文件处理API函数。它是通过fread()函数把文件直接输出到浏览器提示用户下载,这样所有的处理都是在服务器端完成的,因此用户就无法获得文件具体存储位置信息的,示例代码如下:
-
- ?php
- $file_name = "xxx.rar"; //下载文件名
- $file_dir = "./up/"; //下载文件存放目录
- //检查文件是否存在
- if (!file_exists($file_dir . $file_name)){
- echo "文件找不到";
- exit();
- }else{
- //打开文件
- $file = fopen($file_dir . $file_name, "r");
- //输入文件标签
- Header("Content-type: application/octet-stream");
- Header("Accept-Ranges: bytes");
- Header("Accept-Length: " . filesize($file_dir . $file_name));
- Header("Content-Disposition: attachment; filename=" . $file_name);
- //输出文件内容
- //读取文件内容并直接输出到浏览器
- echo fread($file, filesize($file_dir . $file_name));
- fclose($file);
- exit();
- }
- ?
【代码解读】
上述代码中,程序发送Header信息是用来告诉Apache和浏览器下载文件的相关信息的。content-type的含义代表文件MIME类型是文件流格式。如果在Apache配置里面把文件的MIME类型设为application/octet-stream(如add application/octet-stream .xxx.rar),那么浏览器(客户端)就会知道,这是一个文件流格式的文件并提示用户下载。Accept-Ranges是一个响应头标,它允许服务器指明将在给定的偏移和长度处,为资源组成部分的接受请求,该头标的值被理解为请求范围的度量单位。Content-Length是指定包含于请求或响应中数据的字节长度,例如,Content-Length:382。Content-Disposition:attachment是用来告诉浏览器,文件是可以当做附件被下载,下载后的文件名称为$file_name该变量的值。
|
窥视卡
雷达卡
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
