1
我正在处理一个应用程序(LAMP),用户可以将文件上载到服务器,但无法与其他用户共享文件。所以,我的问题是落实,确保用户A不能访问由用户B.上传文件的安全机制如何在PHP中实现有限的文件访问?
我的做法是这样的:
- 每个用户都有其文件的文件夹(/上传/用户A)
- 添加.htaccess文件的所有访问/上传文件夹重定向到一个PHP脚本
- 检查用户是否有权访问的子目录(/用户A)
可以看到这种方法有什么缺点?任何更好的选择?
A
回答
1
您可以制作类似于download.php?id=1234的文件,而只需从数据库检查1234是否有权限下载文件,并且根本不会显示用户的物理路径。
使用HTTP标头,您可以强制用户下载带有所需文件名(存储在数据库中)的文件。允许用户直接从物理路径访问他们的文件不是一个好主意,如果您尝试在每次请求时与.htaccess挂勾,那的确会更加昂贵。
大多数系统会考虑生成一些随机字符串或GUID,您不能通过随机更改字符来访问其他人的文件。即在Facebook图像../187170_697610597_4628627_q.jpg中有复杂的URL,用户可以直接访问但不能通过改变几个数字来猜测另一个图像URL,这太难但不安全并且不符合您的要求。
相关问题
- 1. 限制访问PHP文件
- 2. 如何在Grails中实现基于权限的访问控制?
- 3. 如何在html文件中实现php
- 4. OpenWrt:LuCI:如何实现有限的用户访问
- 5. 在PHP中实现站点访问速率限制
- 6. 如何在php中访问权限
- 7. 如何使用.htaccess文件限制PHP文件访问?
- 8. 如何在所有标签Subversion中限制访问文件夹?
- 9. 在PHP中实现权限
- 10. 限制访问所有的PHP文件,除了其中三个
- 11. 在.cpp文件中实现时访问私有成员
- 12. 如何限制访问的文件夹
- 13. 我如何限制访问文件夹中的所有文件没有web.config
- 14. 如何限制对codeigniter文件夹中的文件的访问
- 15. 如何在单独的文件夹中访问PHP文件
- 16. 如何限制对PHP文件的访问?
- 17. 如何在我的vps中管理超过100k的php文件访问权限?
- 18. 限制对所有文件的访问?
- 19. concrete5仅限文件所有者的限制文件访问
- 20. 如何限制文件夹访问
- 21. 如何让sqlcmd在linux上拥有文件访问权限?
- 22. 如何实现的JavaScript到PHP文件
- 23. 根据登录用户的访问权限限制PHP的文件访问
- 24. 如何在asp.net中限制对特定文件夹的访问
- 25. 如何访问在实现文件的接口中声明的属性?
- 26. 如何限制使用PHP创建的CSV文件的下载访问权限?
- 27. 在Tomcat中限制文件访问
- 28. 如何限制PHP文件访问执行目录?
- 29. 如何限制文件系统访问PHP脚本?
- 30. 访问器没有实现?
我能想到的一个缺点是'.htaccess'文件比较慢,而且对服务器征税 - 在服务器配置文件中设置会更好。 – Nightfirecat
而不是强制引用文件,你可以做一些类似'download.php?id = 1234'的东西,并从数据库中检查'1234'用户是否有权限下载文件并且不显示用户的物理路径所有。 –
我会第二@Ahmet,并补充说,以“安全”的方式保存文件的一个好习惯是将它们存储在您的域之外(但仍然在您的服务器上)。然后使用download.php?id-1234来调用该文件。 – GiladG