上传文件并保证其安全

Question

我正在使用 php 和 MYSQL。我创建了一个会员区域，人们可以在其中上传重要图像（主要用于财务记录）。我希望得到一些关于存储这些文件的最佳方式的建议。什么样的文件夹结构最好？例如，domain.com/Files/UserName/RandomGenerateName/Files。

还有关于 chmod、.htaccess、.htpassword 和任何类型的 php 密码保护的建议。

提前致谢。

Answer 1

我建议将它们存放在树外。这样，默认情况下，您需要启用对它们的访问，而不是禁用访问（以防万一您的 .htaccess/config/code 中有错误，对文件的访问将被禁用，而不是启用）

其次，摆脱随机目录，它不会增加太多的安全性，但它不必要地使实现复杂化

您可以使用 php 检查成员凭据，放置适当的标头（例如，etag 等的 mime 类型），并提供服务通过 passthru 或类似的东西。

Answer 2

最好的方法：

• 使用 .htaccess 保护目录
• 将 index.html 添加到目录“以防万一”
• 使用随机文件名将它们存储在您的目录中
• 使用 php/mysql 检查用户是否有权访问您的文件

示例：
您在domain.com/protecteddir/sdjasdu83299sdnYUsb.dat中有一个文件

您可以使用php/mysql将用户发送到虚拟目录以下载该文件。您可以通过 php.ini 抛出正确的文件头+文件名。因此，即使该文件名为 sdjasdu83299sdnYUsb.dat，用户也会将其下载为“myfinancial.doc”。

用户永远不会知道真正的文件所在位置及其名称。

您的 .htaccess 文件应包含：

<Files *>
Order Allow,Deny 
Deny from All 
</Files>

Answer 3

您可以 .htaccess 进行 URL 重写并在保存文件的文件夹中获取 index.php 文件（编写此代码：），因此当任何人想要进入此文件夹时：
第一：他不知道真实地址
第二：由于有一个index.php提供了他无法进入的主页。