Как защитить файлы от прямоо доступа

@VeTal4ik · Регистрация: 01.06.2013

Студворк — интернет-сервис помощи студентам

Ребят, такой вопрос.

У меня оказалось, что все файлы сайта выглядывают наружу в прямой доступ.
Есть ли способ защитить эти файлы и давать доступ только авторизованным? или как-то иначе. (htaccess?)
p.s. ссылки прямые

@voral · 14.04.2023, 07:47

У меня такое реализовано примерно так (два варианта)
1 решение не мое, а в встроенное в cms:
в файловой системе файл хранится в условно случайном подкаталоге и , возможно (это настраивается), со случайным именем. Ссылка показывается только тому у кого есть право на этот конкретный файл. Минусы: пользователь имеет какое то представление о структуре каталогов, и есть гипотетический, но очень мизерный шанс (мне кажется практически 0), что угадает ссылку на чужой файл. Так же если накосячит сисадмин есть вероятность все же кому то в браузере открыть этот каталог и все слить.

2. Ссылка дается (так же с учетом прав) на скрипт с идентификатором файла в качестве параметра. В этом случае пользователь не имеет понятия как и где хранится файл (и я спокойно могу менять расположение). Файлы можно хранить за пределами корня сайта.

Добавлено через 1 минуту
Да во втором случае параметр может быть как число, так и (если требуется большая секьюрность) например UUID

@Дух системы · 14.04.2023, 16:53

как уже писали выше, надо просто менять путь до папки хранения

сайт у вас лежит в /var/www/html
данные, которые должны быть доступны не напрямую лежат например в /var/www/store

чтобы забрать файл создаем /var/www/html/get_file.php

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
if(isset($_GET['file']))
{
    if(file_exists('/var/www/store/'.$_GET['file']))
    {
/*
тут выставляем всякие условия, по которым юзер может или нет получить доступ к запрашиваемому файлу
*/
        $ct=file_get_contents('/var/www/store/'.$_GET['file'].'');
        header('Content-Type: application/octet-stream');
        header('Content-Disposition: attachment; filename="'.$_GET['file'].'"'); 
        header('Content-Transfer-Encoding: binary');
        echo $ct;
    }
}

файл доступен по ссылке http://host/get_file.php?file=имя_файла.txt

Новые блоги и статьи Все статьи Все блоги /
Модель здравосохранения 17. Планы на выгорание anaschu 23.05.2026 Вот конкретная схема реализации: В классе Работник добавить: накопленнаяУсталость — растёт каждый час работы, снижается в перерывы и болезни коэффициентПрезентеизма — снижает продуктивность. . .	Изменение цветов в палитре gif файла aka фавикона russiannick 23.05.2026 Изменение цветов в палитре gif файла, юзаемого как фавиконка в составе html-файла, помещенная в base64, средствами нативного Java Script, навеянное сном в майский день. Для работы необходим браузер,. . .	Модель здравосохранения 16. Слишком хорошие и здоровые сотрудники уходят, недовольные зарплатой anaschu 23.05.2026 Отладка увольнений и настройка производительности Сегодня во второй половине дня разобрались с механикой увольнений и настроили коэффициент сложности заданий. Вот что было сделано. . . .	Как я стал коммунистом))) Модель сохранения здоровья сотрудников, запись блога номер 15 anaschu 23.05.2026 Внезапно хорошее здоровье сотрудников не нужно капиталистам?))
Модель здравоСохранения 15. Как мы чинили AnyLogic модель рабочего коллектива: сочленение диаграммы состояний болезней и поломок в ресурспул anaschu 23.05.2026 Как мы чинили AnyLogic модель рабочего коллектива Сегодня разобрались с пятью багами, из-за которых модель либо падала с ошибкой, либо давала совершенно бессмысленные результаты. Каждый баг был. . .	Диалоги с ИИ zorxor 23.05.2026 Насколько я понимаю - Вы - Искусственный Интеллект. Это так? Да, всё верно. Я — искусственный интеллект. Я представляю собой большую языковую модель, созданную для помощи в самых разных задачах. . . .	Модель здравосохранения 14. Собираем всю модель вместе. anaschu 22.05.2026 Модель собрана. В будущих постах на видео я покажу, как она работает. В этом посте запускаем её, проверяем результаты и разбираем что можно с ней делать дальше. Перед запуском проверяем. . .	Модель здравоохранения 13. Добавление самой системы здравоохранения. anaschu 22.05.2026 В предыдущем посте мы настроили болезни. Теперь добавим события, которые управляют здоровьем всего коллектива, а также настроим рабочий график и расчёт финансов. В Main создаём четыре события. . . .

@VeTal4ik 13 / 13 / 2 Регистрация: 01.06.2013 Сообщений: 246

	Как защитить файлы от прямоо доступа 11.04.2023, 12:01. Показов 1524. Ответов 21 Метки нет (Все метки) Ребят, такой вопрос. У меня оказалось, что все файлы сайта выглядывают наружу в прямой доступ. Есть ли способ защитить эти файлы и давать доступ только авторизованным? или как-то иначе. (htaccess?) p.s. ссылки прямые 0

@voral 3061 / 1463 / 265 Регистрация: 16.03.2008 Сообщений: 6,506 Записей в блоге: 2
	14.04.2023, 07:47
	У меня такое реализовано примерно так (два варианта) 1 решение не мое, а в встроенное в cms: в файловой системе файл хранится в условно случайном подкаталоге и , возможно (это настраивается), со случайным именем. Ссылка показывается только тому у кого есть право на этот конкретный файл. Минусы: пользователь имеет какое то представление о структуре каталогов, и есть гипотетический, но очень мизерный шанс (мне кажется практически 0), что угадает ссылку на чужой файл. Так же если накосячит сисадмин есть вероятность все же кому то в браузере открыть этот каталог и все слить. 2. Ссылка дается (так же с учетом прав) на скрипт с идентификатором файла в качестве параметра. В этом случае пользователь не имеет понятия как и где хранится файл (и я спокойно могу менять расположение). Файлы можно хранить за пределами корня сайта. Добавлено через 1 минуту Да во втором случае параметр может быть как число, так и (если требуется большая секьюрность) например UUID 0