动态设置内容类型

Question

我有以下代码，我使用它来强制下载文件而不是在浏览器中打开。

if(isset($_POST['file_name'])){ 
$player_file = $_POST['file_name']; 
$accessKey = "REMOVED"; 
$secretKey = "REMOVED"; 
$bucket = $_POST['bucket']; 
$fname = $_POST['fname']; 

$zip_url = el_s3_getTemporaryZipLink($accessKey, $secretKey, $bucket, $fname); 
$mp3_url = el_s3_getTemporaryMP3Link($accessKey, $secretKey, $bucket, $fname);  


header('Content-type: audio/mpeg3'); 
header('Content-Disposition: attachment; filename="themixtapesite_'.$player_file.'"'); 
readfile($mp3_url); 
exit(); 
} 

正如你所看到的，我通过了一个窗体中的所有变量。然后使用该信息为存储在Amazon S3上的文件生成唯一的Signed URL。

如果文件是MP3，我需要它使用$ mp3_url，如果它是一个Zip文件，我需要使用$ zip_url。

这一定很简单，但我一直坐在这个屏幕前面整天现在我已经有了一个完整的头脑空白！

任何帮助表示赞赏。

Answer 1

1. 此代码是一个巨大的安全漏洞。任何愿意使用它的人都可以打开服务器的大门。
2. 使用array of mime types来确定一个扩展的MIME类型（尽管如此，你需要额外的安全检查，因为仅仅依靠扩展进行中继并不是一件聪明的事情）。
3. 使用switch语句来确定使用哪个函数。切换后，你应该有$url - 只有一个变量存储扩展名，而不是两个不同的变量。