关于Web资源文件权限的简单设置

头像
了小黄鱼
    阅读 2 分钟
    3

    整改一些业务系统时,加了WEB资源文件权限,比如上传doc,可能随机命名,但总可能被猜到,猜到就能访问到。

    首先,禁止Url文件名直接访问

    以Apache为例,在禁止访问文件目录(file_path)下新建 .htaccess

    # 单个文件
<Files ~ "\.jpg$">
    # 多个文件(写着就不让访问了)
<Files ~ "\.(jpg|png|pdf|rar|zip|doc|docx|xls|xlsx|ppt|pptx)$">
   Order allow,deny
   Deny from all
</Files>
    如果是IIS .net,可以在“MIME类型”设置可访问的资源文件后缀名

    这样一来,下面两种方式都无法打开:

    1、

    http://localhost/images/qwert.jpg

    2、

    <img src="images/qwert.jpg" />

    第二步,输出文件

    假设数据表是这样设计的

    file_id file_url file_user_id
    qwert_ooo qwert.jpg user1
    12345_ooo 12345.jpg user2

    fileread.php 读取文件

    <?php

$file_id = $_GET["file_id"]; // 得到网址中的文件id
// 根据$file_id,查找到文件的真实路径,比如 images/qwert.jpg;这里可以进一步做权限验证,比如是否属于用户user1
$file_url = "images/qwert.jpg"; 

if (file_exists($file_url)) {
    ob_start();
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename='.basename($file_url));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file_url));
    ob_clean();
    flush();
    readfile($file_url);
    exit;
}

    备注:

    1.Content-Disposition:

    参数 作用
    inline 用默认浏览器打开非图片文件(Edge等浏览器有效,而Chrome一律选择下载)
    attachment 下载

    2.上述代码,ob_start()和ob_clean()需要一起使用,或者都不要,否则无法输出任何文件,即使查看Header信息是正确的

    官方文档:输出缓冲必须已被 ob_start() 以 PHP_OUTPUT_HANDLER_CLEANABLE 标记启动。否则 ob_clean() 不会有效果。

    fileread.html 输出文件

    <!doctype html>
<head>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <img src="fileread.php?file_id=qwert_ooo"/>
</body>
</html>

    访问方式

    1、

    http://localhost/fileread.html

    2、

    http://localhost/fileread.php?file_id=qwert_ooo
    phpapache
    了小黄鱼
    200 声望2 粉丝

    技术小白

    下一篇 »
    Linux(Debian)使用crontab设置定时任务

    引用和评论

    推荐阅读
    头像
    WordPress插件Contact Form 7 Database安装的问题

    了小黄鱼阅读 1.9k

    头像
    使用PHP对接StockTV全球金融市场数据API实战指南

    CryptoRzz3阅读 1.1k

    头像
    docker 打包 php 应用

    big_cat1阅读 2.8k

    头像
    定档 7 月!Community Over Code Asia 2025 议题征集全面启动!

    思否编辑部2阅读 996

    头像
    祝贺陈梓立(Tison)当选 2025 年度 Apache 软件基金会董事会

    鸣飞1阅读 2.2k

    头像
    一个PHPer的偷懒哲学:如何用两套模板跳过重复造轮子

    苏琢玉2阅读 588

    头像
    一文(加代码示例)说透在线客服系统技术难点

    曹旭升1阅读 618

    0 条评论
    得票最新