我有一个多租户PHP webapp,它生成PDF供用户下载。 PDF可以通过URL轻松访问,因此用户可以预览或下载它们。
这是网址
的架构http://<mywebappaddress>.com/downloads/pdf_<userid>_<date>.pdf
webapp允许用户只访问他们的PDF,但是用户可以查看URL,更改用户ID(可能猜测另一个用户ID)并从其他用户下载PDF。
PHP中防止这种情况的最佳方法是什么?
答案 0 :(得分:1)
有很多方法可以阻止这种
使用user_id加密pdf文件名并存储在数据库中,并仅向允许的用户提供名称。
您可以存储除{1>
第一个选项是免费的