国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

關于Web資源文件權限的簡單設置

YacaToy / 2744人閱讀

摘要:整改一些業務系統時,加了資源文件權限,比如上傳,可能隨機命名,但總可能被猜到,猜到就能訪問到。否則不會有效果。

整改一些業務系統時,加了WEB資源文件權限,比如上傳doc,可能隨機命名,但總可能被猜到,猜到就能訪問到。

首先,禁止Url文件名直接訪問

以Apache為例,在禁止訪問文件目錄(file_path)下新建 .htaccess

# 單個文件
# 多個文件(寫著就不讓訪問了)

   Order allow,deny
   Deny from all
如果是IIS .net,可以在“MIME類型”設置可訪問的資源文件后綴名

這樣一來,下面兩種方式都無法打開:

1、

http://localhost/images/qwert.jpg

2、


第二步,輸出文件
假設數據表是這樣設計的
file_id file_url file_user_id
qwert_ooo qwert.jpg user1
12345_ooo 12345.jpg user2
fileread.php 讀取文件

備注:

1.Content-Disposition:

參數 作用
inline 用默認瀏覽器打開非圖片文件(Edge等瀏覽器有效,而Chrome一律選擇下載)
attachment 下載

2.上述代碼,ob_start()和ob_clean()需要一起使用,或者都不要,否則無法輸出任何文件,即使查看Header信息是正確的

官方文檔:輸出緩沖必須已被 ob_start() 以 PHP_OUTPUT_HANDLER_CLEANABLE 標記啟動。否則 ob_clean() 不會有效果。
fileread.html 輸出文件


    
    


    

訪問方式

1、

http://localhost/fileread.html

2、

http://localhost/fileread.php?file_id=qwert_ooo

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/30013.html

相關文章

  • 關于Web資源文件權限簡單設置

    摘要:整改一些業務系統時,加了資源文件權限,比如上傳,可能隨機命名,但總可能被猜到,猜到就能訪問到。否則不會有效果。 整改一些業務系統時,加了WEB資源文件權限,比如上傳doc,可能隨機命名,但總可能被猜到,猜到就能訪問到。 首先,禁止Url文件名直接訪問 以Apache為例,在禁止訪問文件目錄(file_path)下新建 .htaccess # 單個文件 # 多個文件(寫著就不讓訪問了)...

    ddongjian0000 評論0 收藏0
  • 為什么是無服務器計算?第一手AWS lambda測試報告!

    摘要:重新修改圖片大小然后上傳到亞馬遜,是最常見用于解釋事件驅動的示例,計算即服務平臺的仍然保留了這個例子,如下圖一個圖片被上傳到一個桶中,觸發一個執行函數的事件。無服務器架構代表了一種非常不同的心態。 為什么一名開發者應該使用AWS Lambda?簡單一句話的說,AWS Lambda-是另外一種事件驅動方式,fu...

    acrazing 評論0 收藏0
  • 支持多用戶web終端實現及安全保障(nodejs)

    摘要:每次在命令行中輸入一串命令,敲入回車,終端進程都會一個子進程,用來執行輸入的命令,終端進程通過系統調用監聽子進程退出,同時通過暴露的輸出子進程執行信息。父進程通過創建該的實現向子進程從設備的輸入輸出。 背景 terminal(命令行)作為本地IDE普遍擁有的功能,對項目的git操作以及文件操作有著非常強大的支持。對于WebIDE,在沒有web偽終端的情況下,僅僅提供封裝的命令行接口是完...

    kaka 評論0 收藏0
  • 為什么是無服務器計算?第一手AWS lambda測試報告!

    摘要:重新修改圖片大小然后上傳到亞馬遜,是最常見用于解釋事件驅動的示例,計算即服務平臺的仍然保留了這個例子,如下圖一個圖片被上傳到一個桶中,觸發一個執行函數的事件。無服務器架構代表了一種非常不同的心態。 為什么一名開發者應該使用AWS Lambda?簡單一句話的說,AWS Lambda-是另外一種事件驅動方式,function-as-a-service就像Microsoft Azure 的函數計算...

    FuisonDesign 評論0 收藏0
  • web認證機制

    摘要:最近讀了幾篇大牛的博客才對認證機制方面有了進一步了解。盡管在服務器端可以優雅地使用技術如攔截器或動態代理對所有進行前置的登錄驗證。認證方式比較支持問題和其實是緊密相聯的。第三方授權問題采用傳統認證方式,若要訪問業務,一定要先登錄。 引言 以前對認證這方面的認識一直不太深刻,不清楚為什么需要token這種認證,為什么不簡單使用session存儲用戶登錄信息等。最近讀了幾篇大牛的博客才對認...

    fai1017 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<