我正在考虑一种存储和提供某些文件的方法。基本上这些文件将是用户上传的doc文件(通过网络表单) - 它们并不过分重要,但可能包含一些关于上传它们的用户的个人信息。
只有某些用户和上传者应该能够查看这些文件。
它们当前存储在/ files /中,文件名是文件名的md5哈希值和一些随机的8字节字符串,这使得它们很难猜到。我有一个空白的index.php来阻止任何目录查看。
我正在考虑添加另一层安全性,默认所有这些文件都是不可读的,然后发送想要通过脚本下载它们的用户,该脚本检查用户下载它是否有效,是否对文件进行了chmod它可读,然后chmod回到私有状态。
人们对此安全的看法是什么?有没有人更好地了解如何做到这一点?该目录是否容易被文件抓取?
答案 0 :(得分:0)
当访客输入文件链接下载您的私人文件时,您应该使用mod_rewrite重定向到php文件(此处进行身份验证的代码)