我正在为我的网站创建一个 PHP 脚本,它允许我的客户登录到他们的客户帐户并查看我为他们上传的文件列表。然后他们可以下载它们而无需重新登录或重新输入密码。
我想保证它的安全,所以如果他们知道客户的名字,任何人都不能进来下载文件。
我试过 .htacccess、保护文件夹等。但它似乎不起作用。我已经编写了客户端登录脚本,可以让他们登录并查看他们目录中的文件列表,但是我不能让他们在没有登录的情况下右键单击下载它。
在这里可以看到类似的东西:http: //forums.cgsociety.org/showthread.php?f=76& t=808482
在第二篇文章中,如果您尝试单击 delete.jpg,它不会让您在未登录的情况下下载它。我希望我的网站具有类似的功能。
该站点是用 PHP 创建的,带有一个 MySQL 数据库。
文件夹本身应该设置普通用户无法访问的安全权限,只有运行 PHP 进程的用户才能访问。
您的 PHP 脚本充当实际文件系统的通道。用户无权查看文件列表,但您的脚本可以。用户没有访问文件的权限,但是您的脚本可以这样做,您可以将它们作为二进制文件打开并写出数据以发送给用户。
对 PHP 文件下载器进行一些研究,这是相当标准的行为。
您可以使用 cookie 来表示该用户以前曾到过那里并已通过身份验证。使 cookie 的值相当随机,所以无法猜测。我会username . timestamp用用户名加密并存储它,username_token这样你就可以让人们超时并强迫他们稍后登录。
然后,将文件移出 webapp 目录,并有一个 cgi 程序显示目录中的文件,并允许它们下载。
通过这种方式,您可以控制人们看到的内容以及允许的操作。