[英]How to protect a public image upload folder from manipulation/direct access
[英]how to protect images inside upload folder from viewing by anyone EXCEPT admin
好的,接下來是所需的(可能是不可能的?)方案:
1)任何人都可以將圖像上傳到文件夾
2)只有管理員,可以通過Web管理員界面/常規,受密碼保護的管理員面板看到它
我想這是不可能的,除非我將圖像直接存儲到數據庫(作為BLOB類型),並在管理面板中顯示它們(我想這會降低性能)。
所以,我能做什么,a)除了將空白索引文件放置在上載文件夾中(已經完成), 但我想有辦法猜測/獲取文件名
b)也許添加一些.htaccess保護(您的建議是什么?)
再次,上傳是表單的一部分(不需要注冊!),我需要某種方式來僅允許管理員查看/下載圖像,但是要保護它免受其他人的訪問,因為敏感數據存在疑問。
干得好:
1)不要將文件存儲在數據庫中。 永遠。
2)使用.htaccess保護上傳目錄(只能保存上傳的文件)-基本上“拒絕所有”-或將上傳目錄存儲在對網絡不公開的位置(請參閱下面的#3)
3)有一個用於文件下載的臨時文件(用戶是否登錄?如果是,則設置標頭和readfile()
實際文件-這將強制文件下載。數據庫應存儲文件名,路徑和其他相關文件細節)
PHP上傳腳本可以將文件保存在任何目錄中,即使其中包含.htaccess的目錄也是如此。
提交表單后,您可以對上傳的文件進行任何操作。
為什么不將圖像存儲在根本無法從Web訪問的文件夾中,然后以編程方式從管理界面提供對這些文件的訪問?
您可以在上傳后使用管理員的公鑰加密圖像,因此只有管理員的私鑰才能解密和查看。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.