如何去保護文件免受未經授權的下載

Question

我正在創建一個使用PHP和MySQL數據庫的會員網站，我有辦法讓用戶使用他們的用戶名和密碼登錄。所有漂亮的標準東西。

我甚至有系統允許註冊用戶下載示例視頻文件。這也很好。

然而，問題是任何能夠找出文件系統的人都可以直接下載這些文件。假設我們的主文件夾包含名爲「視頻」的視頻內容，在「視頻」內部，我們有子文件夾，如「飛機」，「火車」和「汽車」，每個文件夾內都有獨立的文件夾如'飛機'，'道具'和'間諜'），以及每個子類別的特定視頻。

所以如果有人知道文件系統，他們只需輸入https://www.myvideosite.com/videos/planes/jets/f15.wmv並下載到他們心中的內容，只要他們知道文件名即可。 （正如你所看到的，我有一個安全的連接，它在運行Linux的Apache服務器上。）

這是我想在發現之前插入的一個主要安全漏洞。我研究過.htaccess，但是我的努力往往導致整個'視頻'文件夾無法訪問（我承認，我是所有這些新手！）。

我也讀過關於將我的視頻文件放在網站根文件夾之外，但看起來更令人困惑。

簡而言之，我怎麼可以禁止不是會員的人下載，而是可以通過任何方式發現文件系統是什麼？在我看來，這應該很簡單，但唉，我沒有找到一個可靠的答案。

Answer 1

您可以使用.htaccess文件和「路線」通過PHP腳本的所有請求保護您的視頻文件夾：

RewriteEngine on 
RewriteRule (.*) index.php?file_id=$1 [L] 

而且在index.php

session_start(); 
// get filename from database or somewhere else 
$filename = getFilename($_GET["file_id"]); 

if ($_SESSION["is_logged_in"]) { 
    readfile($filename); 
} 

Answer 2

做認證這裏有一個答案，如果你有問題.htaccess

好的，所以如果你服務這是public_html，去它的父目錄創建一個目錄名稱「視頻」。 （如果不在public_html中，則可能需要在路徑中添加一些../）。 pathinfo負責驗證問題，並且如果有人試圖偷偷摸摸地找到一個路徑，它將只返回一個文件名。如果您的download.php的名字，這樣的：？

的download.php視頻= fun.mp4

會加載一個名爲從視頻目錄fun.mp4文件。

<?php 
// do your user authentication 
$video_directory = "../videos/"; 
$file = pathinfo($_GET["video"], PATHINFO_BASENAME); 
if($user_is_logged_in) 
{ 
    if(file_exists($file) readfile($video_directory . $file); 
} 

?> 

Answer 3

使用簡單的.htaccess/htpasswd的認證，摘要或基本：

http://www.askapache.com/online-tools/htpasswd-generator/