Notice
Recent Posts
Recent Comments
Tags
- 하드 마이그레이션
- 타임피커
- 강제이동
- javascript 바코드 생성
- ASP.Net Core 404
- 하드 윈도우 복사
- 바코드 스캔하기
- 404에러페이지
- javascript redirection
- jquery 바코드
- XSS방어
- 바코드 생성하기
- XSS PHP
- ViewData
- 파일업로드 유효성체크
- django 엑셀불러오기
- asp.net Select
- 맥 오라클설치
- php 캐쉬제거
- SSD 복사
- Mac Oracle
- asp.net dropdownlist
- TempData
- javascript 바코드스캔
- asp.net core Select
- 파일업로드 체크
- ViewBag
- javascript 유효성체크
- jquery 바코드생성
- 말줄임표시
웹개발자의 기지개
[PHP] GET방식의 파일다운로드 파일만들때 보안강화하기 본문
파일다운로드를 구현할때, GET방식으로 변수값을 처리하면 외부에서 링크 주소만 알면 마구 다운로드될 수 있는데,
이를 암호화하고 보안화 하며 막아보자.
[ /inc/config.php]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
<?
$fileSecretKey = "키값";
// 파일다운로드 암호화
function generateSignedUrl($table, $file, $secret) {
$expires = time() + 3600; // 1시간 후 만료
$signature = hash_hmac('sha256', $table . $file . $expires, $secret);
return "/inc/download.php?dir={$table}&fn={$file}&expires={$expires}&signature={$signature}&ext=1";
}
// 파일다운로드 복호화
function validateSignedUrl($table, $file, $expires, $signature, $secret) {
if ($expires < time()) {
return false;
}
$expected_signature = hash_hmac('sha256', $table . $file . $expires, $secret);
return hash_equals($expected_signature, $signature);
}
?>
|
cs |
256 형태로 암호화/복호화 시키고, 1시간내로 시간단위로 만료시간도 정해놓았다.
[ 실제 파일 ]
1
2
3
4
5
6
7
|
<?
/*
<a href="/inc/download.php?fn=<?=urlencode($filename1)?>&dir=board_table1&ext=1"><?=$origin_filename1?> (<b><?=$filesize1Str?></b>)</a>
*/
?>
<a href="<?=generateSignedUrl('board_table1', urlencode($filename1), $fileSecretKey)?>"><?=$origin_filename1?> (<b><?=$filesize1Str?></b>)</a>
|
cs |
[download.php]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
<?
session_start();
if (!$_SESSION[m_id]) {
exit;
}
include $_SERVER['DOCUMENT_ROOT']."/inc/config.php";
$dir = $_GET['dir'];
$fn = $_GET['fn'];
$expires = $_GET['expires'];
$signature = $_GET['signature'];
if (!validateSignedUrl($dir, $fn, $expires, $signature, $fileSecretKey)) {
die("Invalid or expired URL.");
}
$dir = htmlspecialchars($dir);
$fn = htmlspecialchars($fn);
// _와 숫자 영문만 남기고 제거하기
$dir = preg_replace("/[^A-Za-z0-9_]/", "", $dir);
$fn = preg_replace("/[^A-Za-z0-9_.]/", "", $fn);
/*
if(preg_match("/[\xA1-\xFE][\xA1-\xFE]/", $fn)) { // 한글이면 true 반환
$fn = iconv("UTF-8", "EUC-KR", $fn);
}
*/
//$fn = iconv("cp949", "UTF-8", $fn);
if (preg_match("/^utf/i", "utf-8"))
$fn = urlencode($fn);
//$furl = "../pds/". $dir;
$furl = $_SERVER['DOCUMENT_ROOT']."/pds/". $dir;
if ($ext == 1) { $ftype = "file/unknown"; }
else { $ftype = "application/octet-stream"; }
Header("Content-Disposition: attachment; filename=$fn");
//Header("Content-Type: $ftype");
header("content-type: file/unknown");
Header("Content-Length: ".filesize("$furl/$fn"));
Header("Pragma: no-cache");
Header("Expires: 0");
if ($fp = fopen("$furl/$fn", "r")) {
print fread($fp, filesize("$furl/$fn"));
}
fclose($fp);
exit();
?>
|
cs |
'PHP' 카테고리의 다른 글
[PHP] 파일 다운로드시 특정파일명으로 변경하여 다운로드 받고 싶을때(한글명) (2) | 2024.09.25 |
---|---|
[PHP] 네이버에디터2 폴더변경시 수정사항 (0) | 2024.09.12 |
[PHP] 실무팁 10 - 코드번호 만들기 (0) | 2024.07.09 |
[PHP] 유용한 실무팁 9 - 휴대폰 본인 인증 작업하기 (0) | 2024.07.04 |
[PHP] 유용한 실무팁 8 - Ajax, Json 형태로 연동하기 (0) | 2024.07.02 |
Comments