php隐藏下载链接

发布于 2024-10-30 17:32:10 字数 648 浏览 1 评论 0原文

我正在寻找一个简单的 PHP 微型网站，允许下载我的乐队曲目之一，以换取电子邮件地址。我知道我可以使用 Bandcamp，但我想自己做；）

我发现了一个我喜欢的乐队的微型网站，它完全符合我的要求，所以我尝试将其分解。该网站是 http://thirdtrappedtigers.heroku.com。该网站基本上让您输入您的电子邮件地址，然后必须将其放入数据库中（除非它在数据库中找到该电子邮件地址的匹配项）。

然后，您可以查看下载按钮并下载文件，而无需透露文件的源 URL。该按钮的 href 是 "download/" 让我假设下载目录中有一个 index.php，它必须需要某种会话 ID（大概是提交电子邮件时设置）以阻止人们直接链接到该电子邮件。然而，该文件还做了一些我不知道的工作，以掩盖链接。

我不明白的另一个方面是，在输入电子邮件的页面上有一个隐藏的输入，在提交电子邮件地址时会提交一个随机的authenticity_token。我也不太明白为什么这是必要的。

对于这个非常具体的问题，我深表歉意，但我整个早上都在努力解决这个问题，但还是不太明白。

谢谢，

里奇

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

只为守护你 2024-11-06 17:32:11

您可以做的是：

用户输入电子邮件地址
通过发送包含令牌的链接的电子邮件进行验证（或不验证，取决于您的意愿）。即： http://myawesomband.com/downloadtrack.php?token=asd#%$dhj123
downloadtrack.php 验证令牌并使用 file_get_contents() 加载示例曲目并将其作为下载提供（请参阅 php.net 站点上的特定标头）

优点是用户不需要不知道文件所在的位置（最好将示例轨道放在 webroot 之外。

[编辑]
对于隐藏的输入字段令牌：这可能会用于迷惑机器人和其他仅大量发布“电子邮件”字段的脚本。如果令牌未发送且与 $_SESSION['token'] 值不匹配，则不会处理请求。这是有效的，因为进行此类攻击的脚本通常不接受 cookie，因此它们的 $_SESSION 数组永远不会重新加载。