情况如下: 我有一个 Apache 服务器,它托管一个 php 程序,该程序允许用户登录并且用户可以上传文件,并将他们上传的文件分享给其他人,所以,我在 htdoc 文件夹中有一个名为“附件”的文件夹,它是存储用户的附件。但我不希望人们直接访问这个文件夹,我只让一些用户(基于他们的用户权限)获得他们想要的文件,其他人可以访问那个文件......
比如A上传file_a,并分享给B、C。用户B、C可以通过链接dl链接,但是用户D即使得到了链接,还是不能下载,即使他/她正在记录或不记录。我该怎么做这个检查?谢谢。
【问题讨论】:
一种解决方案是将文件夹设为私有(即:将其移出htdocs)并使用网关脚本。像这样的:
$fullpath = '/path/to/your/files/'.basename($_GET['filename']));
// verify that the user is valid here
// verify that file exists here
// get the mime type
$finfo = finfo_open();
$mime = finfo_file($finfo, $fullpath, FILEINFO_MIME_TYPE);
// send it to the client
header('Content-Disposition: attachment; filename='.basename($fullpath));
header('Content-Type: '.$mime);
readfile($fullpath);
所以,你会像这样链接到它:
【讨论】:
http://yourdomain.com/files.php?filename=foobar.zip&id=d90abc8374&checkstate=ff94ad0e5700
不要将文件作为 blob 保存在您的数据库中...相反,将文件保存在您的 Web 目录之外,然后有一个 php 文件来检查访问权限,并在他们具有正确访问权限的情况下将文件提供给人们。
$file = 'file_path';
header("Content-Type: image/jpeg");
header("Content-Length: " . filesize($file));
header("Content-Disposition: attachment; filename=\"filename.jpg\"");
header('Cache-Control: private');
header('Pragma: private');
$fp = fopen($file,"rb");
fpassthru($fp);
fclose($fp);
exit();
【讨论】:
三个选项:
1 号是最干净的,但其他两个是可行的解决方案。
【讨论】: