目录结构逻辑

Question

我正在尝试创建一个像这样的文件夹结构：

• 上传的文件
  • 一个
    • [电子邮件受保护]
  • b
  • c
  • ...一直到 z

公共 Web 目录上方的 z 一级。唯一的唯一键（除了 user_id 本身）是用户电子邮件，因为他们的电子邮件就是他们的用户名，所以...

问题：人们是否能够访问这些目录并获取所有用户的电子邮件地址？这是一个多么糟糕的主意？您建议什么可能的替代方案？

谢谢。

Answer 1

一定要确保使用哈希值而不是纯文本电子邮件地址。这是必须的。

除此之外，我想这与基于模糊安全性的解决方案一样安全（和不安全）（即您的安全性仅依赖于没有人知道 URL 的事实 - 但如果他们知道，他们可以访问它们）没有限制。）有很多潜在的漏洞——用户可以为 URL 添加书签；它可以嵌入页面上的某个位置；它可以存储在服务器、浏览器和代理日志中......

Answer 2

看一下 PHP dir 函数：
http://php.net/manual/en/class.dir.php

如果您希望用户可以通过网络公开访问这些文件夹，为什么要将这些文件夹放在网络根目录之上？

此外，您可以考虑对文件夹名称使用某种哈希，1) 因为没有人希望公开泄露他们的电子邮件地址，2) 泄露内部 user_ids 可能会导致漏洞利用。

Answer 3

正如佩卡刚刚回答的那样；对电子邮件地址进行哈希处理可能是一个好主意，因为链接很可能会发布到论坛或类似的地方，然后该帖子可能会被电子邮件地址爬虫抓取。我认为只需一个简单的地址哈希（例如 md5）就可以（几乎）解决这个问题。

请参阅此线程了解如何防止目录列表，以及如果采用 Apache 方式该怎么办不起作用。

Answer 4

对电子邮件进行哈希处理以用作文件夹名称，并将其放在 Web 根目录之上。

您可以使用简单的身份验证来访问此文件，并使用 php 文件来读取它们并发送
他们到浏览器。