Som*_*omk 15 php mysql .htaccess
我想要一个文件夹,让我们称之为文档,其中包含登录用户可以下载的文档.这些信息非常敏感.我怎样才能最好地保护文件夹.我来自PHP背景,所以想知道我是否忽略了任何东西.
我将使用.htaccess保护文件夹,当用户点击下载时,它们永远不会显示在文件夹中.通过php删除文件夹名称强制下载到他们.
当然,为了保护用户区域,我正在所有输入字段上实施卫生和验证,并注意SQLInjections.使用SSL连接.关闭所有的PHP警告.安全区域使用SESSION变量来控制访问并重新验证用户的特殊任务,例如更改密码.加上10分钟的超时功能,之后用户必须重新输入详细信息.
我想尽可能地彻底,所以任何建议无论多么小都会受到欢迎.
Joh*_*nde 32
将文件放在webroot之外.然后使用PHP通过脚本传递文件.这样,没有人可以直接链接到文件并绕过您的控件.(当然,只有在验证用户有权检索该文件后才能确保执行此操作的脚本).
示例PHP:
<?php
if (!isset($_SESSION['authenticated'])) {
exit;
}
$file = '/path/to/file/outside/www/secret.pdf';
header('Content-Description: File Transfer');
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename=' . basename($file));
header('Content-Transfer-Encoding: binary');
header('Expires: 0');
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header('Content-Length: ' . filesize($file));
ob_clean();
flush();
readfile($file);
exit;
?>