防止盜鏈:
原理:當(dāng)服務(wù)器要我們下載文件的時(shí)候,我們會(huì)拿到一個(gè)鏈接,然后我們通過這個(gè)鏈接找到這個(gè)文件,然后將它下載下來。那么也就是說這個(gè)鏈接必須要有的,那么如何防止盜鏈呢?那就是給你的鏈接并不是真正的文件鏈接了。這一點(diǎn)很容易想到,那么不給你真正的鏈接又怎樣讓你下載文件呢?
我們在用php做網(wǎng)頁的時(shí)候,總是會(huì)把php代碼穿插在HTML代碼中間,然后用php去生成剩下的代碼,然后傳給客戶端,也就是說客戶端會(huì)接受到我們php腳本運(yùn)行的結(jié)果。也就是說:如果我的php腳本運(yùn)行的結(jié)果就是你要下載的文件。這樣我們就實(shí)現(xiàn)了文件防盜鏈。就是說你能得到的鏈接就是這個(gè)php文件,然后再由這個(gè)百變php文件變成你想要的文件來供你下載。
代碼如下:
$FileAddress : 文件的相對路徑。
$DownloadName : 文件下載到客戶端的名字。
if(file_exists($FileAddress) && $file=fopen($FileAddress,'r')) { //首先要判斷文件是否存在,如果文件跟本不存在的話,后邊的代碼也是白費(fèi)。
Header('content-type:application/octet-stream'); //聲明文件類型,這里是為了讓客戶端下載它,而不是打開它,所以聲明為未知二進(jìn)制文件。否則客戶端會(huì)根據(jù)其文件類型在線打開它。
Header('content-Length:'.filesize($FileAddress)); //聲明文件的大小,告訴客戶端這個(gè)文件的大小,否則客戶端下載的時(shí)候看不到進(jìn)度。
Header('content-disposition:attachment;filename='.$DownloadName); //聲明文件名,這里就是告訴客戶端它要下載的文件的名字,否則名字就會(huì)是你php文件的名字。
echo fread($file,filesize($FileAddress)); //這里就是將加載的文件echo出來,因此這個(gè)php文件不能出現(xiàn)其他任何的文字,就是說這里若是出現(xiàn)了任何其他的輸出的話都會(huì)輸出到客戶端下載的文件里。
fclose($file); //最后關(guān)閉句柄。
}
上邊這些代碼就成功的勝任了防止盜鏈的任務(wù),只需要定義那兩個(gè)變量就可以。那兩個(gè)變量可以通過GET來獲取,比如我們將文件實(shí)際鏈接與它的編號在數(shù)據(jù)庫中做一個(gè)映射,我們只需要GET到一個(gè)文件ID即可對文件進(jìn)行下載,保證了我們真實(shí)文件地址的安全。當(dāng)然也可以是對文件真實(shí)鏈接進(jìn)行加密之類的,總之就是不要講真實(shí)鏈接再放到客戶端可以看到的地方就好。
防止迅雷下載
其實(shí)通過上邊的代碼,我們只能做到鏈接的隱藏,并不能防止客戶端用迅雷等工具對其進(jìn)行下載。那么如何做到防止用迅雷等工具下載它呢?
正如我之前所說我們可以通過各種途徑來使php文件得到這個(gè)文件的路徑,那么,我們只要不要將這些信息加在鏈接里邊就好了。比如:可以通過POST來傳輸文件的ID,可以通過session來傳輸文件的ID。
這就是我所說的:花式授權(quán)下載。
1.我們可以在下載的前導(dǎo)頁寫入客戶端session,來儲存其授權(quán)碼,將文件ID也儲存進(jìn)去,然后再在下載的php里加入驗(yàn)證session的代碼,這樣就算客戶端將連接輸入迅雷下載也是沒有用的。
2.我們可以在下載的前導(dǎo)頁加入一個(gè)隱藏的表單,用POST提交給實(shí)現(xiàn)下載功能的php,這樣也能達(dá)到防止第三方下載工具下載的目的。
總之這樣的方法很多,上面兩種方法提供參考,主要的思路就是將要下載文件的信息和鏈接分開來,這樣就可以達(dá)到只憑一個(gè)鏈接無法下載文件的目的。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持。