允许访问 PHP 中的特定文件

Question

在我的项目中，用户将上传一个 pdf 文件。这将存储在名为“uploads”的目录中，名称为$_SESSION['userId'].".pdf"。现在用户可以使用'myweb.com/uploads/id.pdf' 访问该文件。但是当用户在浏览器的 url 栏中更改 id 值时，他可以访问其他用户的文件。为了防止它，我想使用一个链接将$_SESSION['userId'] 与隐藏类型发布到下一页。在下一页将使用发布的 id 重定向到文件。 这个想法好吗？或者有没有更好的解决方案？

Answer 1

在 PDF 文件的文件夹中，您必须创建 .htaccess 文件并在其中放置以下两行。

• 订单拒绝，允许
• 拒绝所有

此 .htaccess 文件不允许直接从浏览器访问任何 PDF 文件。 要允许登录用户访问 PDF 文件，请创建一个 PHP 文件 downloadpdf.php 并将以下代码放入其中。登录的用户只能通过这种方式下载他/她的文件。

<?php
$pdf_file = "{$_SERVER['DOCUMENT_ROOT']}/path-to-pdf-file/".$_SESSION['userId']".pdf";
if( file_exists( $pdf_file ) )
{
  header( 'Cache-Control: public' );
  header( 'Content-Description: File Transfer' );
  header( "Content-Disposition: attachment; filename={$pdf_file}" );
  header( 'Content-Type: application/pdf' );
  header( 'Content-Transfer-Encoding: binary' );
  readfile( $pdf_file );
  exit;
}
die( "ERROR: invalid song or you don't have permissions to download it." );
?>

Answer 2

如果您不希望用户看到其他用户的文件，那么您永远不会期望来自客户端的用户的结果。

将数据存储在会话/数据库中，并在使用受限的情况下从中检索值。

Answer 3

真的有必要为文件名分配 id 吗？使用 id 作为隐藏字段仍然非常容易受到攻击。

为什么不为每个用户生成一个具有唯一 ID 的文件名？如有必要，您可以再添加一个名为 uuid (char 36) 的数据库字段。你可以使用uniqid()functino。

因此，每次，您可以将 uuid 存储在会话中并进行相应检查，而不是检查主键 id。

Answer 4

更好的解决方案是检查 isset $_SESSION['userId'] 并将其与 url 中的 id 进行比较

<?php
    session_start();
    $link = $_SERVER['PHP_SELF'];
    $link_array = explode('/',$link);
    echo  $page = end($link_array);
    $id = explode('.',$page);
    $userid = $id[0];
    if(isset($_SESSION['userId']) && $userid== $_SESSION['userId']){        
        // display file
    }
    else{
        //not authorized 
    }
?>