CodeIgniter - 用戶應該只能訪問自己的圖像

Question

我目前正在嘗試使用CodeIgniter開發圖像上傳網站。 事情是，我今天遇到了一個問題，我真的很感謝任何形式的幫助，以解決它。

所以基本上，該網站正在工作。但事情是，這些文件不是私人的。用戶可能希望確保用戶上傳的文件只能由他們看到，而不是由只猜測一堆網址的人看到。 （例如，user1上傳他想要保密的image1，對於他自己=> [localhostlocalhost/upload_script/files/image1.jpg]，user2可以通過猜測並輸入url [localhost/upload_script/files/image1.jpg]來訪問image1。這是我們不希望發生的事情。） 我已經做了一些研究，我認爲這可能需要另一個控制器來提供文件（它檢查會話數據）。 過去，我一直在PHP中使用會話等「玩」，但我在CodeIgniter中並不熟悉它們。 這是唯一的方法嗎？我不認爲我需要爲每個用戶創建單獨的目錄，對嗎？你能告訴我如何去正確的方向或給我一個例子嗎？

由於提前，

harris21

Answer 1

性能命中爲了保護文件，你需要讓他們到網站根之外，否則別人會總是能夠網址破解他們的方式。

我已經使用非常方便的mod_xsendfile apache（如果你有這種類型的訪問你的服務器），這將允許你提供的文件，可以通過訪問控制保護，沒有適當的憑據沒有訪問。

代碼片斷，你可以把你的CI控制器來顯示圖像（改編自mod_xsendfile頁）：

... 
if ($user->isLoggedIn()) 
{ 
    header("X-Sendfile: $path_to_somefile"); 
    header('Content-Type: image/jpeg'); 
    exit; 
} 

如果您不能安裝mod_xsendfile那麼你唯一的選擇是使用readfile()作爲TheShiftExchange說。

Answer 2

使用PHP返回圖像，並鎖定了Web服務器根後面的圖像目錄。這樣，在提供圖像之前，您可以通過會話變量檢查用戶憑據，確保允許他查看圖像。否則，您可以將用戶直接重定向到網站，提醒他無法訪問。像這樣提供圖像比通過網絡服務器（apache，nginx，...）提供圖像要慢，但它可以讓你控制圖像的下載。

更確切地說，將圖像細節保存在數據庫中，例如具有列：id，file_path，title，uid。每當用戶想要下載一個圖像，例如調用http://domain.com/files/download/3，您可以檢查是否可以爲當前登錄的用戶下載帶有標識爲3的圖像。你需要編寫你自己的控制器，將會這樣做。

我正在做一個類似的事情在這裏http://www.mediabox.si/你可以檢查如何提供圖像。我允許縮略圖圖像，並且可以爲普通訪問者提供可見的較大圖像的水印。

Answer 3

唯一的方法是將圖像存儲在public_html之外。否則根據定義，您打開文件以直接訪問。

使用控制器檢查，如果用戶被允許訪問文件和PHP函數ReadFile的（）來提供服務的文件

你可以在這裏我的其他問題，一個讀了一些代碼：Does this PHP function protect against file transversal?

這其實是非常快的 - 你不會注意到在所有