0
我正在考慮存儲和提供某些文件的方式。基本上這些文件將是用戶上傳的doc文件(通過網頁表單) - 它們不是非常重要,但可能包含一些關於上傳它們的用戶的個人信息。我的文件有多安全
只有特定用戶和上傳者應該能夠查看這些文件。
它們當前存儲在/ files /中,文件名是文件名的md5哈希值和一些隨機的8byte字符串,應該使它們很難被猜出。我有一個空白index.php在那裏停止任何目錄查看。
我想添加另一層安全性,默認所有這些文件是不可讀的,然後發送用戶想要通過腳本下載它們,檢查用戶下載它是有效的,做一個chmod文件讓它可讀,然後chmod回到稍後的私人空間。
人們對此的安全性有何想法?有沒有人有關於如何做到這一點的遐想?該目錄容易被文件抓取?
存儲文件外的web目錄完全,並使用類似[此腳本](http://www.finalwebsites.com/forums/topic/php-file-download)下載。這樣,您可以檢查用戶是否已登錄,並且不需要提供保護文件的權限。 –
根本不顯示完整的文件列表!只允許通過身份驗證層訪問,只發布用戶實際訪問的文件列表並阻止所有其他請求。將文件存儲在不能通過直接請求訪問的位置。只通過身份驗證層傳遞文件。 – arkascha
就文件上傳而言。我之前做過一次https://github.com/simon-eQ/ImageUploader它和任何文件上載一樣安全。它可能只需要一些代碼清理。 – samayo