PHP Lang
  1. PHP Lang
  3. Безопасные файлы для скачивания
Intereting Posts
PHP preg_match только для чисел и букв, никаких специальных символов Отправить строку как файл с помощью curl и php Что-то не так с моим кодом, и я не знаю, что, Производительность PHP file_get_contents () vs readfile () и cat Skrill (Moneybookers) возвращает данные и HTTPS Автозагрузчики ресурсов Zend не работают в пространствах имен Добавить продажную цену программно к вариациям продукта Создать квадрат 1: 1 thumbnail в PHP PHP ограничивает вызов публичных методов Команда не синхронизирована, когда я запускаю хранимую процедуру! с использованием драйвера mysqli Удалить несколько строк с помощью ajax-вызова в PHP Обнаружение отмены подписки Paypal «Существует ошибка» при нажатии на некоторые страницы администрирования Silverstripe установить дату по умолчанию в datepicker только по вторникам и средам? Как добавить Pagination в пользовательскую страницу списка плагинов

Безопасные файлы для скачивания

Я хочу иметь папку, позволяющую вызывать ее docs, которая содержит документы, которые могут загружать пользователи. У них очень чувствительная информация. Как лучше всего защитить папку. Я исхожу из фона PHP, поэтому хочу знать, не упустил ли я что-либо.

Я буду защищать папку с .htaccess, а также когда пользователи нажимают кнопку загрузки, они никогда не отображаются в папке. Загрузка осуществляется через php, удаляя имя папки.

Конечно, чтобы защитить область пользователей, я внедряю санитарию и проверку на всех входных полях, а также наблюдаю за SQLInjections. Использование SSL-соединения. Выключили все предупреждения php. Защищенная область использует переменные SESSION для контроля доступа и повторной проверки пользователей для выполнения особых задач, таких как смена паролей. Кроме того, функция тайм-аута составляет 10 минут, после чего пользователь должен повторно вводить данные.

Я стараюсь быть настолько тщательным, насколько это возможно, поэтому любой совет, какой бы малой он ни был встречен.

Поместите файлы за пределы webroot. Затем, используя PHP, передайте файл, хотя скрипт. Таким образом, никто не может напрямую ссылаться на файл и обходить ваши элементы управления. (Естественно убедитесь, что скрипт, который делает это только после проверки пользователя, имеет разрешение на получение этого файла).

Пример PHP: 

<?php if (!isset($_SESSION['authenticated'])) { exit; } $file = '/path/to/file/outside/www/secret.pdf'; header('Content-Description: File Transfer'); header('Content-Type: application/octet-stream'); header('Content-Disposition: attachment; filename=' . basename($file)); header('Content-Transfer-Encoding: binary'); header('Expires: 0'); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Pragma: public'); header('Content-Length: ' . filesize($file)); ob_clean(); flush(); readfile($file); exit; ?>

Помимо Джона Конде, вы можете переписать URL-адрес dl в другую нечувствительную папку для honeypot пользователя, который пытается преодолеть их доступ.

И добавьте такие правила в свой htaccess 

 Options -Indexes <files .htaccess> order allow,deny deny from all </files> #Add all file you want to protect except the one you share... <FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$"> Order Allow,Deny Deny from all </FilesMatch>