不允許訪問上傳目錄文件，除了瀏覽器

Question

我寫了一個PHP腳本上傳一個標誌圖片。它工作正常。

但我的應用程序是使用幾個人，他們都可以上傳他們的標誌。所以我創建了這個路徑： 'uploads/IDCLIENT/logo.png' 這是行得通！

但是，如果在我的瀏覽器中設置的網址爲：http://mydomain/uploads/IDCLIENT/logo.png，我可以看到它。如果我設置爲http://mydomain/uploads/ANOTHER_IDCLIENT/logo.png，我可以看到其他用戶的徽標。這是尷尬。

我有一個.htaccess文件在我的根目錄：

RewriteEngine on 

RewriteRule ^([a-zA-Z0-9\-\_\/\\?\=]*)$ index.php?p=$1 [QSA] 

所以我嘗試添加一個htaccess文件中的「上傳」目錄：

Order Deny,Allow 
Deny from all 

這工作，我可以」 t當我設置url時看到文件，但在我的應用程序中，我看不到文件，徽標無法顯示。

有沒有辦法禁止直接訪問上傳目錄（當我們設置一個網址）並顯示上傳目錄中的文件在我的HTML文件。

謝謝。

Answer 1

編輯：爲了擴大你的問題：

使用Deny from all（顧名思義）否認ALL請求到特定的文件/目錄你指揮的.htaccess否認。

你也拒絕你的服務器訪問文件/目錄（甚至你的localhost是127.0.0.1），所以它不能直接從文件夾中獲取圖像並顯示它。

那麼你需要做什麼？您需要允許server/localhost直接訪問該文件/目錄。

通過在現有的兩行代碼下使用allow from 127.0.0.1將IP添加爲白名單項目將允許您的本地主機直接訪問。

Answer 2

對此的建議是將IDCLIENT更改爲使用不同類型的密鑰。我想你可能會使用遞增整數。

一個很好的解決方案是使用UUID4。

因此，一個URL會像這樣：http://mydomain/uploads/619df8f5-24aa-4a70-aa84-dedb1e5eeea5/logo.png

這將使如果不是不可能的猜測另一客戶端的存儲文件夾變得越來越困難。 https://en.wikipedia.org/wiki/Universally_unique_identifier#Version_4_.28random.29

PHP包的UUID 4：UUID的4

更多信息https://github.com/ramsey/uuid

Answer 3

我找到了解決辦法： 修改我的。在我的根目錄htaccess文件，我添加一行：

RewriteEngine on 

RewriteRule ^([a-zA-Z0-9\-\_\/\\?\=]*)$ index.php?p=$1 [QSA] 

# redirect the request views/img/shared_uploads/ TO views/img/logo 
RewriteRule ^views/img/shared_uploads/(.+)$ /views/img/logo/$1 [NC,L,R=302] 

如果我設定的網址如下：http://mydomain/views/img/shared_uploads/IDCLIENT/它不工作。

感謝您的幫助。