我有一个网络应用程序,允许用户存储包含敏感信息的文件。 到目前为止,我已经编写了代码,以便如果他们查看文件,他们会通过 view.php?id = xx 并通过数据库进行检查,以确认他们可以查看在说文件。例如,John将“information.pdf”上传到“uploads”文件夹,该文件夹位于“www.mysite.com/uploads”,所以文件的确切路径是“http://www.mysite.com/uploads/information.pdf”,在数据库中,这个文件的id为2,所以他会通过 view.php?id = 2 来达到目的。
问题
如何阻止任何人前往确切的路径并查看他的敏感文件?
我做了什么
编写代码只允许用户访问我的网站,而不是直接访问文件。
我已经查看过相同标题的推荐问题,但没有运气。
非常感谢任何帮助。
答案 0 :(得分:2)
请勿将其置于http://www.mysite.com/uploads/之类的可公开访问的路径中。将它放在htdocs之外,只允许通过view.php
如果您想向所有者提供下载工具,只需创建一个download.php来检查与view.php相同的权限,但不是查看它,而是让用户下载。