0

我有一个网络应用程序,可让用户存储包含敏感信息的文件。到目前为止,我已经编写了代码,以便如果他们查看他们的文件,他们会通过view.php?id=xx并通过数据库进行检查以确认他们被允许查看所述文件。例如,John 将“information.pdf”上传到位于“www.mysite.com/uploads”的文件夹“uploads”,因此文件的确切路径为“http://www.mysite.com/uploads” /information.pdf",并且在数据库中,该文件的 id 为 2,因此他将通过view.php?id=2访问它。

问题

我如何阻止任何人去确切的路径并查看他的敏感文件?

我做了什么

编写代码以仅在用户访问我的网站时才允许访问文件,而不是直接访问。

我已经查看了相同标题的推荐问题,但是没有运气。

任何帮助将不胜感激。

4

1 回答 1

2

不要将其放在可公开访问的路径中,例如http://www.mysite.com/uploads/. 把它放在 htdocs 之外,只允许通过你的view.php

如果您想为所有者提供下载功能,只需创建一个download.php检查权限的方法,view.php但不是查看它,而是让用户下载。

于 2012-12-26T11:11:29.053 回答