PHP：如何阻止对文件的直接 URL 访问，但仍然允许登录用户下载该文件？

php .htaccess access-control hotlinking

2022-08-30 12:27:16

我有一个网站，用户应该能够登录并收听歌曲（自创的mp3）。我想让它成为登录用户可以收听/下载/任何东西，并且文件应该驻留在服务器上（不存储在MySQL数据库中），但不能被具有URL路径的非用户访问。

例如：假设我的mp3位于 mysite.com/members/song.mp3 如果您已登录，您应该能够看到 mysite.com/members/index.php 页面，该页面将允许访问歌曲.mp3文件。如果您未登录，mysite.com/members/index.php 页面将不会向您显示歌曲.mp3文件，并且直接链接到该文件不应授予访问权限。

我很确定这是通过htaccess完成的，我已经做了很多谷歌搜索，并在这里搜索。我找到的两个最接近的答案是这个htaccess指南 http://perishablepress.com/press/2006/01/10/stupid-htaccess-tricks/ 和这个StackOverflow问题阻止通过http直接访问文件，但允许php脚本访问，但都没有回答我的所有问题以满足我的标准。我错过了什么？

答案 1

进入文件夹成员创建新的文件夹文件，将所有歌曲移动到此处，创建新的.htaccess文件并添加以下行：

Order Deny,Allow
Deny from all

在文件夹成员中创建文件get_song.php并添加以下代码：

if( !empty( $_GET['name'] ) )
{
  // check if user is logged    
  if( is_logged() )
  {
    $song_name = preg_replace( '#[^-\w]#', '', $_GET['name'] );
    $song_file = "{$_SERVER['DOCUMENT_ROOT']}/members/files/{$song_name}.mp3";
    if( file_exists( $song_file ) )
    {
      header( 'Cache-Control: public' );
      header( 'Content-Description: File Transfer' );
      header( "Content-Disposition: attachment; filename={$song_file}" );
      header( 'Content-Type: application/mp3' );
      header( 'Content-Transfer-Encoding: binary' );
      readfile( $song_file );
      exit;
    }
  }
}
die( "ERROR: invalid song or you don't have permissions to download it." );

现在，您可以使用此URL获取歌曲文件：
http://mysite.com/members/get_song.php?name=my-song-name

答案 2

您唯一可以通过.htaccess执行此操作的是需要来自您站点的引用者，并且它不安全。伪造一个推荐人是微不足道的，任何人都可以吸干你的网站。

只有登录用户才能下载文件的唯一方法是将文件放在 Webroot 外部，并使用 PHP 脚本进行中介访问。总之：

if (is_logged_in()) {
   readfile($name_of_file);
} else {
   die("Access denied");
}