0

ユーザーが機密情報を含むファイルを保存できる Web アプリがあります。これまでのところ、ファイルを表示する場合にview.php?id=xxを通過し、データベースを介してチェックが行われ、そのファイルを見ることが許可されていることを確認するようにコードを書きました。例として、Johnは"information.pdf"を"www.mysite.com/uploads"にある"uploads"フォルダーにアップロードします。したがって、ファイルの正確なパスは"http://www.mysite.com/uploads"になります。 /information.pdf"であり、データベースでは、この同じファイルの ID が 2 などであるため、view.php?id=2を介してアクセスします。

質問

誰かが正確なパスに移動して機密ファイルを閲覧するのを防ぐにはどうすればよいですか?

私がしたこと

ユーザーが直接アクセスするのではなく、私の Web サイトを通過する場合にのみファイルへのアクセスを許可するようにコードを記述しました。

同じタイトルの推奨される質問を見ましたが、うまくいきませんでした。

どんな助けでも大歓迎です。

4

1 に答える 1

2

のような公的にアクセス可能なパスに配置しないでくださいhttp://www.mysite.com/uploads/。htdocs の外に置き、あなたのview.php

所有者にダウンロード機能を提供したい場合は、download.php同じ方法でパーミッションをチェックする を作成view.phpしますが、表示する代わりに、ユーザーがダウンロードできるようにします。

于 2012-12-26T11:11:29.053 に答える