由于安全(检查用户是否登录),我在显示图像时调用php文档.
<html>...
<img src="showImage.php?id=455" />
...</html>
showImage.php:
<?php...
if($_SESSION['user']){
//Get the src to the image
$_GET[$id] = mysql_real_escape_string($_GET['id']);
$result = mysql_query("
SELECT src
FROM Media
WHERE id = '".$_GET['id']."'
");
$data = mysql_fetch_assoc($resultat);
// Output the image
header('Content-Type: image/jpeg');
echo(file_get_contents("media/".$data['src']));
}
...?>
执行此操作时,我希望用户永远不会知道图像的直接URL,并且在尝试显示图像时,用户必须登录.
我不确定这是最好的方法.有没有更简单/更好的方法来做到这一点,这是安全的.当脚本回显时,它有点慢.
期待您的所有专家提示.
Pas*_*TIN 10
首先,不是用,而是file_get_contents只有这样,回显它的内容,你可以使用readfile:它将在一次调用中完成两个操作 - 这可能是最快的并且使用的内存少于:
file_get_only
然后,如果您只想识别可以访问图像,那么您没有太多选择:如果识别机制基于PHP,则必须通过PHP来限制对文件的访问 - 是的,比使用Apache直接提供内容要慢一些.
另外:在这里,你说:
我希望用户永远不会知道图像的直接网址
读到这个,我想你的图像可以通过Apache直接访问,绕过你的PHP脚本,如果有人知道他们的URL; 默默无闻的安全并不好.
更好的解决方案是,如果您不希望Apache为您的图像提供服务,那么将它们放在Apache不会提供任何服务的目录中:
Deny from all" 的.htaccess文件保护无论哪种方式,这确保只有您的脚本可以访问文件,而不是直接访问Apache - 这意味着不是用户绕过脚本.
关于性能问题的另一个想法可能是指示浏览器可以缓存您的图像 - 至少,如果这是有道理的.
例如,您可能对HTTP标头感兴趣,例如"Etag"和/或"Last-Modified".