<b>若何构建安全的php下载组件</b>[网站编程]

*这篇文章只是一篇技术随笔

这个组件的构建思绪是:按照梁子恩的办法我对文档下载组件的下载范例做了限制,利用switch( $ext )设定只答应特定范例文档下载.固然文档不能被不法下载,但是文档名一旦改正成错误的,php就会回显,目的一是不能下载敏感文件,二是不能不能因为履行错误表露敏感信息.

首先对组件设定默许途径.设置途径后,得到文件名,这样的话假如没有找到文件,系统会回显:

Warning: filesize() [function.filesize]: stat failed for /home/XX/docs/14.rar"or"1"="1 in /home/XX/get_doc.php on line 5

处理这个问题,只要将$file_size = @filesize($file_path);这样写就不会把把物理途径反馈回去

别的一部份核心代码是:

if( $filename == "" ) {
假如没有输入文件名,回显没有输入文档名
elseif ( ! file_exists( $filename ) ) {
假如没找到,则回显没找到
然后正则匹配:switch( $ext ){

这则匹配这样匹配:

case "pdf": $ctype="application/pdf"; break;
case "zip": $ctype="application/zip"; break;
case "rar": $ctype="application/rar"; break;
case "doc": $ctype="application/msword"; break;
case "doc": $ctype="application/octet-stream"; break;
case "xls": $ctype="application/vnd.ms-excel"; break;
case "ppt": $ctype="application/vnd.ms-powerpoint"; break;
case "wmv": $ctype="video/x-ms-wmv"; break;
case "gif": $ctype="image/gif"; break;
case "png": $ctype="image/png"; break;
case "jpg": $ctype="image/jpeg"; break;
case "jpeg": $ctype="image/jpeg"; break;
case ".ai": $ctype="application/postscript"; break;
case "swf": $ctype="application/x-shockwave-flash"; break;

不然全部显示:不答应下载的范例

这样只要让下载组件get取值便可.当然,也可以用数据库的id编码取途径.不过我认为那样对图片不太好处理,这个可以取到图片变量后转到图片页自动显示图片,变量要这样实现好麻烦的说.