Скачивание файлов только авторизованными пользователями

@Laroux · Регистрация: 21.11.2014

Студворк — интернет-сервис помощи студентам

Коллеги, привет!
Есть некая CRM, в которую клиент может подгружать определенные типы документов (размер одного файла не превышает 4Мб). Стандартно можно просто загружать их в файловую систему хостинга, но в таком случае при наличии прямой ссылки этот(и) документ(ы) может получить кто угодно, что, мягко говоря, нежелательно.

Можем каталог с файлами закрыть с помощью .htaccess. Но тогда и сам скрипт CRM теряет доступ к этим файлам.

Нашел хорошую статейку на хабре https://habr.com/post/151795/
Что думаю: вынести папку хранения файлов выше каталога с сайтом, чтобы они не были доступны снаружи по прямым ссылкам и отдавать одним из способов, описанных в статье.

Вопрос, собственно, таков: описанные решения лишь вкратце "разжеваны" с точки зрения оптимальности использования.
Подскажите, пожалуйста, какой из способов будет наиболее эффективен?

Заранее благодарен

@Jodah · 11.05.2018, 10:04

Laroux, делаю примерно как описано в статье. В скрипте проверяю авторизацию, если авторизован - отдаю файл на скачивание, сами файлы недоступны по прямой ссылке.

@Laroux · 11.05.2018, 10:18 **[ТС]**

а каким способом из предложенных в статье?

Добавлено через 10 секунд
и почему?)

@Jodah · 11.05.2018, 10:26

Laroux, первый, потому что самый простой и не было замечено проблем с производительностью.

@Phantom-84 · 11.05.2018, 10:47

Laroux, третий. Однако в статье абсолютно верно сделано то, что код помещен в одну и ту же функцию. Первый способ обычно устанавливается по умолчанию. А на деле используется третий. Второй - это пародия на первый.

@Laroux · 11.05.2018, 10:53 **[ТС]**

Может быть третий хорош, если файлы имеют большой размер? Или в любом случае надо юзать, в моем случае, апач?
Чем этот лучше первого?

@Phantom-84 · 11.05.2018, 11:13

Для HTTP и 4 Мб за раз - много. У третьего способа больше шансов на возможность "докачки". Вот эта фраза в полной мере дает понять, что первый способ подходит только для песочниц:

Скрипт ждет пока весь файл будет прочитан и отдан пользователю.

Добавлено через 11 минут
Иными словами первый способ вы можете использовать только для файлов, сопоставимых по размеру со среднестатистическими страницами. Речь, естественно, только об HTML.

@Laroux · 11.05.2018, 11:34 **[ТС]**

Понятно, спасибо.
А вот теперь к практической части:

PHP
1
2
3
4
5
6
7
8
9
function file_force_download($file) {
  if (file_exists($file)) {
    header('X-SendFile: ' . realpath($file));
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    exit;
  }
}
file_force_download("test.png");

отдает пустой файл. Почему это может происходить?

@Jodah · 11.05.2018, 11:45

Laroux, а где отправка файла? Вы только заголовки отправляете.

@Phantom-84 · 11.05.2018, 11:51

Jodah, он третий способ пробует.

@Laroux · 11.05.2018, 11:52 **[ТС]**

Написал ровно как на хабре)
Посмотрел еще и описание https://tn123.org/mod_xsendfile/
но так и не понял, что значит "где отправка файла")) Поправьте мне скриптец, если не сложно?

Заранее спасибо

@Phantom-84 · 11.05.2018, 11:54

Laroux, модуль скачан, подключен к серверу?

Условие внутри функции выполняется? Функция realpath может, но не обязана подставлять путь к основному имени файла.

@Laroux · 11.05.2018, 12:02 **[ТС]**

Сообщение от Phantom-84

модуль скачан, подключен к серверу?

как это проверить на виртуальном хостинге?

@Phantom-84 · 11.05.2018, 12:22

На виртуальном хостинге у вас скорее всего ничего не получится. Это тоже своего рода песочница.

Но все же можете проверить доступность модуля: phpinfo.

Добавлено через 6 минут
Попробуйте способ 3b, если nginx также присутствует.

@Laroux · 11.05.2018, 12:24 **[ТС]**

пхпинфо не показывает)
Да ну и фиг с ним тогда.. все равно файлы в подавляющем большинстве от 200 до 400кб. Изредка до метра... бум юзать первый способ да и всех делов.

Ребзики, спасибо за подсказки!

Добавлено через 52 секунды

Сообщение от Phantom-84

если nginx также присутствует

не.. это не подойдет точно

@Phantom-84 · 11.05.2018, 12:40

Сообщение от Laroux

не.. это не подойдет точно

Почему? Это как раз-таки более реалистичный путь для виртуального хостинга, если есть возможность добавить внутреннюю секцию в конфигурацию.

Хотя не нужно оно вам. Когда понадобится, сами поймете или недовольные пользователи объяснят

@Laroux · 11.05.2018, 12:56 **[ТС]**

ок)

@Laroux · 16.05.2018, 17:51 **[ТС]**

Ситуёвина: есть куча файлов документов, которые лежат хоть и по суперпуперзамудрёным папкам, но, тем не менее, доступны по прямым (повторюсь, что капец каким мудрёным) ссылкам извне.
Как можно быстро ограничить к ним доступ, чтобы обращаться к ним можно было только из PHP-скриптов? Какие идеи?

@Phantom-84 · 16.05.2018, 21:08

Вы забыли, что мы обсуждали в этой теме?

Добавлено через 5 минут
Уберите в защищенное место, сохранив структуру каталогов, и предоставляйте к ним доступ только авторизованным пользователям. Если файлы "интересны" исключительно самим скриптам, то и вовсе не нужна никакая авторизация.

@Laroux · 16.05.2018, 23:46 **[ТС]**

Не забыл))
Я просто надеялся, что варик как-то без переноса в "защищенное" место что-то придумать

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490

	Скачивание файлов только авторизованными пользователями 11.05.2018, 09:45. Показов 4403. Ответов 22 Метки нет (Все метки) Коллеги, привет! Есть некая CRM, в которую клиент может подгружать определенные типы документов (размер одного файла не превышает 4Мб). Стандартно можно просто загружать их в файловую систему хостинга, но в таком случае при наличии прямой ссылки этот(и) документ(ы) может получить кто угодно, что, мягко говоря, нежелательно. Можем каталог с файлами закрыть с помощью .htaccess. Но тогда и сам скрипт CRM теряет доступ к этим файлам. Нашел хорошую статейку на хабре https://habr.com/post/151795/ Что думаю: вынести папку хранения файлов выше каталога с сайтом, чтобы они не были доступны снаружи по прямым ссылкам и отдавать одним из способов, описанных в статье. Вопрос, собственно, таков: описанные решения лишь вкратце "разжеваны" с точки зрения оптимальности использования. Подскажите, пожалуйста, какой из способов будет наиболее эффективен? Заранее благодарен 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	11.05.2018, 10:04
	Laroux, делаю примерно как описано в статье. В скрипте проверяю авторизацию, если авторизован - отдаю файл на скачивание, сами файлы недоступны по прямой ссылке. 1

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	11.05.2018, 10:18 [ТС]
	а каким способом из предложенных в статье? Добавлено через 10 секунд и почему?) 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	11.05.2018, 10:26
	Сообщение было отмечено Laroux как решение Решение Laroux, первый, потому что самый простой и не было замечено проблем с производительностью. 1

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	11.05.2018, 10:47
	Laroux, третий. Однако в статье абсолютно верно сделано то, что код помещен в одну и ту же функцию. Первый способ обычно устанавливается по умолчанию. А на деле используется третий. Второй - это пародия на первый. 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	11.05.2018, 10:53 [ТС]
	Может быть третий хорош, если файлы имеют большой размер? Или в любом случае надо юзать, в моем случае, апач? Чем этот лучше первого? 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	11.05.2018, 11:45
	Laroux, а где отправка файла? Вы только заголовки отправляете. 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	11.05.2018, 11:51
	Jodah, он третий способ пробует. 1

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	11.05.2018, 11:52 [ТС]
	Написал ровно как на хабре) Посмотрел еще и описание https://tn123.org/mod_xsendfile/ но так и не понял, что значит "где отправка файла")) Поправьте мне скриптец, если не сложно? Заранее спасибо 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	11.05.2018, 11:54
	Laroux, модуль скачан, подключен к серверу? Условие внутри функции выполняется? Функция realpath может, но не обязана подставлять путь к основному имени файла. 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	11.05.2018, 12:22
	На виртуальном хостинге у вас скорее всего ничего не получится. Это тоже своего рода песочница. Но все же можете проверить доступность модуля: `phpinfo`. Добавлено через 6 минут Попробуйте способ 3b, если nginx также присутствует. 1

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	11.05.2018, 12:56 [ТС]
	ок) 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	16.05.2018, 17:51 [ТС]
	Ситуёвина: есть куча файлов документов, которые лежат хоть и по суперпуперзамудрёным папкам, но, тем не менее, доступны по прямым (повторюсь, что капец каким мудрёным) ссылкам извне. Как можно быстро ограничить к ним доступ, чтобы обращаться к ним можно было только из PHP-скриптов? Какие идеи? 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	16.05.2018, 21:08
	Вы забыли, что мы обсуждали в этой теме? Добавлено через 5 минут Уберите в защищенное место, сохранив структуру каталогов, и предоставляйте к ним доступ только авторизованным пользователям. Если файлы "интересны" исключительно самим скриптам, то и вовсе не нужна никакая авторизация. 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	16.05.2018, 23:46 [ТС]
	Не забыл)) Я просто надеялся, что варик как-то без переноса в "защищенное" место что-то придумать 0

Скачивание файлов только авторизованными пользователями

Решение