Php 安全下载文件

我想有一个文件夹，我们称之为docs，其中包含登录用户可以下载的文档。这些都有非常敏感的信息。如何才能最好地保护文件夹。我来自PHP背景，所以想知道我是否忽略了任何东西

我将使用.htaccess保护该文件夹，并且当用户单击下载时，他们不会显示该文件夹。下载是通过php强制进行的，删除文件夹名

当然，为了保护用户区域的安全，我正在所有输入字段上实施卫生和验证，并注意SQLInjections。使用SSL连接。关闭所有php警告。安全区域使用会话变量来控制访问并重新验证用户是否执行特殊任务，例如更改密码。加上10分钟的超时功能，之后用户必须重新输入详细信息

---

我会尽可能的彻底，所以无论建议有多小都会受到欢迎。

将文件放在webroot之外。然后使用PHP通过脚本传递文件。这样，没有人可以直接链接到该文件并绕过您的控件。当然，请确保只有在验证用户有权检索该文件后才执行此操作的脚本

PHP示例：

<?php
    if (!isset($_SESSION['authenticated'])) {
        exit;
    }
    $file = '/path/to/file/outside/www/secret.pdf';

    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    ob_clean();
    flush();
    readfile($file);
    exit;
?>

---

除了John Conde之外，您还可以将dl url重写到另一个不合理的文件夹中，以帮助试图超越访问权限的用户获得蜜罐

并在htaccess中添加此类规则

Options -Indexes

<files .htaccess>
  order allow,deny
  deny from all
</files>

#Add all file you want to protect except the one you share...
<FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
  Order Allow,Deny
  Deny from all
</FilesMatch>

---

作为将文件放在web根目录之外的另一种选择，您可能还会发现一些文件权限组合，允许PHP读取文件，但不允许Apache将其提供给世界，比如chmod o-rwx，换句话说，删除“其他人”的权限。我尝试了此代码，它工作得很好，但它会下载到我的计算机。如何显示此代码中的图片？以及超时情况如何？若要链接图像，请使用：谢谢您的建议。你能再解释一下吗。你建议把下载文件放在一个蜜罐文件夹中，然后阻止所有的文件？基本上，是的！这个想法是隐藏你的真实文件夹，并阻止所有试图访问文件夹内外的文件。