我正在开发下载php脚本,但我的文件路径是变量我可以使用get()来获取文件的文件路径。或者我可以做别的事。 谢谢你的支持。
PHP脚本 -
if (isset($_GET['file']) && basename($_GET['file']) == $_GET['file']) {
$filename = $_GET['file'];
} else {
$filename = NULL;
}
$err = '<p>Sorry, the file you are requesting is unavailable.</p>';
if (!$filename) {
// if variable $filename is NULL or false display the message
echo $err;
} else {
// path
$path = './'.$filename;
// check that file exists and is readable
if (file_exists($path) && is_readable($path)) {
// get the file size and send the http headers
$size = filesize($path);
header('Content-Type: application/octet-stream');
header('Content-Length: '.$size);
header('Content-Disposition: attachment; filename='.$filename);
header('Content-Transfer-Encoding: binary');
// open the file in binary read-only mode
// display the error message if file can't be opened
$file = @ fopen($path, 'rb');
if ($file) {
// stream the file and exit the script when complete
fpassthru($file);
exit;
} else {
echo $err;
}
} else {
echo $err;
}
}
答案 0 :(得分:0)
你是对的,你不应该允许下载用户想要的任何文件,这是一个巨大的安全风险。根据您的可用情况,有几种方法可以避免这种情况。
http://www.example.com/download.php?id=42时,PHP脚本将按给定的ID填充查找数据库中的下载条目,并使用数据库中保存的路径。这样,您就拥有了所有可能下载文件的白名单。realpath()检查用户要下载的文件。然后检查路径是否在允许的下载目录中。这样可以防止访问指定下载目录之外的敏感文件。