如果我的文件位于http // site.com / files / foo.zip。
如何将此网址重写为http://site.com/download/foo.zip,以便在用户的浏览器/下载管理器中根本不显示真实的网址?
答案 0 :(得分:6)
我假设你有Apache并且意味着.htaccess。
RewriteEngine On
RewriteRule ^download/(.*)$ files/$1 [R,L]
否则,如果您确实想要使用PHP,则无论如何都需要通过URL重写将这些请求发送到PHP脚本。
我想限制只对注册用户的下载访问权限。
这不会那样做,最好的办法是将这些文件移到文档根目录上并通过PHP提供。
例如......
<?php
// Get into your system's context so we can determine if the user is logged in.
include 'everything.php';
if ( ! $loggedIn) {
die('Log in mate!'); // Handle this somewhat better :)
}
$file = $_GET['file'];
// Get real path for $file.
$file = basename(__FILE__) . '/above/doc/root/files/' . $file;
if ( ! file_exists($file)) {
die('This file does not exist!'); // And handle this better too.
}
header('Content-Disposition: attachment; filename='.basename($file));
header('Content-Length: ' . filesize($file));
readfile($file);
exit;
答案 1 :(得分:2)
对于中型文件,我也更喜欢下载脚本。设置起来比较容易。
但你仍然可以使用RewriteRule方法进行一些作弊。这需要您从PHP创建临时授权文件:
if ($user_is_authenticated) {
touch("tmp/auth-{$_SERVER['REMOTE_ADDR']}");
}
然后,您可以使用以下简单规则保护真实下载文件夹:
RewriteCond ../tmp/auth-%{REMOTE_ADDR} !-f
RewriteRule .+\.zip /denied.html
这种方法会产生一些管理开销。 - 您需要偶尔清理这些授权状态文件(cronjob)。使用IP地址也不是最佳方法。它也可以使用会话cookie,但更多涉及:Best strategy to protect downloadable files -php/mysql Apache2 server