我正在输出一个pdf文件,其中包含公共根目录之上的一些敏感信息。我认为通过在公共根目录上输出文件我很聪明,但后来我意识到任何人都可以访问公共检索页面。
我正在使用下面的代码来检索文档。如何确保只有我们的人员才能通过访问检索文档来下载文件?
<?php
// retrieve file from above webroot
$thefile = "" . $_GET["fblah"] . "_" . $_GET["lblah"] . ".pdf";
$rootDir = realpath('/var/.../private/');
$fullPath = realpath($rootDir . '/' . $thefile);
header('Content-type: application/pdf');
header('Content-Disposition: attachment; filename=' . basename($fullPath));
header('Content-Length: ' . filesize($fullPath));
@readfile($fullPath);
?>
硬编码必须在检索页面中验证的密码会有帮助吗?