乐趣区

关于Web资源文件权限的简单设置

作者:

jiezi

整改一些业务系统时,加了WEB资源文件权限,比如上传doc,可能随机命名,但总可能被猜到,猜到就能访问到。
首先,禁止Url文件名直接访问
以Apache为例,在禁止访问文件目录(file_path)下新建 .htaccess
# 单个文件
<Files ~ “\.jpg$”>
# 多个文件(写着就不让访问了)
<Files ~ “\.(jpg|png|pdf|rar|zip|doc|docx|xls|xlsx|ppt|pptx)$”>
Order allow,deny
Deny from all
</Files>
如果是IIS .net,可以在“MIME类型”设置可访问的资源文件后缀名
这样一来,下面两种方式都无法打开:
1、
http://localhost/images/qwert.jpg
2、
<img src=”images/qwert.jpg” />
第二步,输出文件
假设数据表是这样设计的

file_id
file_url
file_user_id

qwert_ooo
qwert.jpg
user1

12345_ooo
12345.jpg
user2

fileread.php 读取文件
<?php

$file_id = $_GET[“file_id”]; // 得到网址中的图片id
// 根据$pic_id,查找到图片的真实路径,比如 images/qwert.jpg;这里可以进一步做权限验证,比如是否属于用户user1
$file_url = “images/qwert.jpg”;

if (file_exists($file_url)) {
ob_start();
header(‘Content-Description: File Transfer’);
header(‘Content-Type: application/octet-stream’);
header(‘Content-Disposition: attachment; filename=’.basename($file_url));
header(‘Content-Transfer-Encoding: binary’);
header(‘Expires: 0’);
header(‘Cache-Control: must-revalidate, post-check=0, pre-check=0’);
header(‘Pragma: public’);
header(‘Content-Length: ‘ . filesize($file_url));
ob_clean();
flush();
readfile($file_url);
exit;
}
备注:
1.Content-Disposition:

参数
作用

inline
用默认浏览器打开非图片文件(Edge等浏览器有效,而Chrome一律选择下载)

attachment
下载

2.上述代码,ob_start()和ob_clean()需要一起使用,或者都不要,否则无法输出任何文件,即使查看Header信息是正确的
官方文档:输出缓冲必须已被 ob_start() 以 PHP_OUTPUT_HANDLER_CLEANABLE 标记启动。否则 ob_clean() 不会有效果。
fileread.html 输出文件
<!doctype html>
<head>
<meta charset=”UTF-8″>
<title></title>
</head>
<body>
<img src=”fileread.php?file_id=qwert_ooo”/>
</body>
</html>
访问方式
1、
http://localhost/fileread.html
2、
http://localhost/fileread.php?file_id=qwert

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理

更多文章