Блог

После того, как я закончил небольшой скрипт, который позволяет только пользователям загружать файлы со страницы, я обнаружил, что люди могут иметь ссылку на файл, если они просмотрели исходный код страницы и скачали его оттуда.

Таким образом, в основном код не запрещает пользователям загружать файл, он даже скрывает URL файла из адресной строки, но когда кто-то щелкает правой кнопкой мыши на странице и просматривает исходный код страницы, у него может быть реальный URL файла, и каким-то образом они могут загружать его без каких-либо ограничений!

Нравится этот пример:

 https://www.example.com/files/J730F/GalaxyJ72017SM-J730FCOVER.pdf
  

Это мой код:

 if (!(isset($_GET['username']) amp;amp; !empty($_GET['username']))){
echo 'Only a member of this website can download this file. However, no username was specified in this download. Sorry for inconvenience.'; 
die;
}

$dl_username = $this->decrypt($_GET['username']);

if (gator::getUser($dl_username) == false){
echo 'Only a member of this website can download this file. However, the username provided does not exist in the database. Sorry for inconvenience.';   
die;
}
  

Есть ли способ скрыть эту вещь? например, использовать
.htaccess файл, чтобы ограничить этот вид загрузки!

Я только что нашел очень простой способ сделать это, я использовал этот код, чтобы заблокировать прямой доступ к определенным типам файлов, просто добавьте это в свой файл .htaccess:

 RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?example.com [NC]
RewriteRule .(pdf|zip|txt|pcb|bin|rar|7z|rom)$ - [NC,F,L]
  

Во-первых, вы должны хранить свою пользовательскую информацию в $_SESSION вместо использования $_GET . Посетители могут очень легко манипулировать $_GET , поэтому это совсем ненадежно. У вас должен быть правильный логин (т. Е. с именем пользователя и паролем), в котором хранится ваша информация о пользователе $_SESSION .

Теперь предположим, что у вас есть $_SESSION массив с "username" набором для входа пользователя. Вы можете изменить URL, которым вы поделились, с прямой ссылки PDF на прокси-вызов PHP-скрипта, например:

 https://www.example.com/files.php?path=J730F/GalaxyJ72017SM-J730FCOVER.pdf
  

Затем все, что вам нужно сделать, это ввести соответствующую проверку входа files.php перед фактическим отображением файла:

 <?php

session_start();

if (!isset($_SESSION['username']) || empty($_SESSION['username'])) {
  exit('Only a member of this website can download this file. However, no username was specified in this download. Sorry for inconvenience.');
} elseif (!isset($_GET['path']) || empty($_GET['path'])) {
  exit('You must specify the path for download.');
} elseif (strpos($_GET['path'], '../') !== false) {
  exit('Your path contains invalid pattern.');
}

// Note: ideally, $filedir should not be a publicly accessible folder.
$filedir = realpath(__DIR__ . '/files');
$filepath = realpath($filedir. ltrim($_GET['path'], '/'));

// realpath check for security
if (strpos($filepath . '/', $filedir) !== 0) {
  exit('The path you specified is not accessible.');
}

if (!is_file($filepath)) {
  exit('The file you specified does not exists.');
}

// show file, finally
header('Content-Type: ' . mime_content_type($filepath));
echo file_get_content($filepath);

  

Хороший способ — создать файл .htaccess в root и добавить следующий скрипт в файл .htaccess.

 RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^.] )$ $1.php [NC,L]