可接受的安全下载文件

时间:2013-09-02 12:24:12

标签: php security download

我已经多次看到这个问题了,但它必须对可以强制下载的代码做很多事情,而且我认为我没有发现可能出现的“安全”问题。我希望人们在登录后下载内容(以防止热链接)。 我试图用htaccess和PHP来兼顾这个问题。 PHP文件检查登录,我也有OpenId(某事)。下载部分如下:

    $url = "{$_SERVER['DOCUMENT_ROOT']}/myfolder/{$myfile}";

    if(!is_file($url)) { 
   //whatever
    }elseif (is_file($url)){

    switch($url['extension']) {
            case 'pdf': $ext = 'application/pdf'; break;
            case 'zip': $ext = 'application/zip'; break;
            case 'pps': $ext = 'application/vnd.ms-powerpoint'; break;
            case 'pptx': $ext = 'application/vnd.openxmlformats-officedocument.presentationml.presentation'; break;
            case 'docx': $ext = 'application/vnd.openxmlformats-officedocument.wordprocessingml.document'; break;
            default: $ext = 'application/force-download';
        }    
        header('Pragma: public');   
       header('Expires: 0'); 
       header("Content-Type: application/force-download");
       header("Content-Type: application/octet-stream");
       header("Content-Type: application/download");      
       header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
       header('Cache-Control: private',false);
       header('Content-Type: '.$ext);
       header('Content-Disposition: attachment; filename="'.basename($url).'"');
       header('Content-Transfer-Encoding: binary');
       header('Connection: close');
       readfile($url);   
       exit();
     }

Myfolder受到htaccess的保护,拒绝所有人。 我不确定这是否足够安全,所以在我做一些非常不安全的事情之前我会问。我已经读过人们可以下载“你的宝贵脚本”,但我不知道(据我所知,PHP是不可下载的)。你认为我有严重的漏洞,除了XSS,顺便说一句,它在该页面的某个地方处理? 提前谢谢。

1 个答案:

答案 0 :(得分:1)

正如评论中已经提到的那样,在使用echo发送内容后,您无法发送标题。

另外:确保清理用于生成文件路径的$myfile var,然后使用realpath仔细检查生成的路径是否在“允许”路径列表中。否则,某人可能会传递../../../supersecret/file这样的内容,而您却遇到了麻烦。