如何保护用户在我的网站上上传的私人照片？

Question

我正在使用 PHP/MySQL 来处理图像上传。我希望上传到登录用户图库的所有图像只能由登录用户访问。我不希望人们能够猜测文件名并直接链接到它。

我想我可以将图像存储在 webroot 之外并通过一些 PHP 访问它们。但是，如果用户想稍后通过链接与朋友分享图像，我该如何允许呢？

我还需要采取其他步骤来确保只有用户才能看到他们的照片吗？我非常重视用户隐私并希望做好这一点。

提前感谢您的帮助！

Answer 1

你原来的假设是正确的。将文件存储在公共目录之外，并使用 PHP 脚本检查授权并显示图像。

为了解决共享问题，您可以给他们一个区域，他们可以在其中说“共享这张照片”，它将显示一个像

http://www.yoursite.com/image/12390123?v=XA21IW

XA21IW 这样的 URL，它是存储在表中的一些唯一哈希值，他们可以指定生命周期，或者您可以自己编写一个生命周期。当页面加载并传入 v 时，您可以查找表以确定它是否是该图像 ID 的有效哈希值。

您在这里有一些选择。每次他们单击“共享此照片”时，您都可以：

1. 销毁所有旧哈希值
2. 添加到堆栈中
3. 允许他们配置过期时间等...

或者只是允许图像公开/私有。

Answer 2

您可以使用基于配置文件（用户）的共享系统，其中登录用户 A 可以指示登录用户 B 有权查看图像 C，并且可以随意添加/删除此类权限。

如果无法将查看链接到用户帐户，您可以对图像或图像组（例如图库）设置“查看密码”；查看图像的 URL 将检查用户/所有者是否是查看者，如果不是，则会要求输入密码。

Answer 3

我认为将图像存储在 webroot 之外并通过一些 PHP 访问它们是没有问题的。当用户共享它时，您始终可以使用 php 脚本访问它们..即使这样做更安全，因为您始终可以执行一些安全检查。在实际显示图像之前。

谢谢。

Answer 4

您将图像保存到您的服务器，放置图像名称，您需要的数据以及数据库中的一些散列......
比您将图像的路径设置为名为 images.php 的 php 文件，您可以在其中使用 GET 接收此哈希，并通过哈希从数据库中查找图像，并将标头设置为 image/GIF 示例创建图像。图像的路径将为 images.php?hash=abcdefg。

其他人考虑用户权限，所以...我认为这个解决方案有一些回应...这很简单...