PHP
[PHP] GET방식의 파일다운로드 파일만들때 보안강화하기
http://portfolio.wonpaper.net
2024. 7. 14. 11:27
파일다운로드를 구현할때, GET방식으로 변수값을 처리하면 외부에서 링크 주소만 알면 마구 다운로드될 수 있는데,
이를 암호화하고 보안화 하며 막아보자.
[ /inc/config.php]
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
<?
$fileSecretKey = "키값";
// 파일다운로드 암호화
function generateSignedUrl($table, $file, $secret) {
$expires = time() + 3600; // 1시간 후 만료
$signature = hash_hmac('sha256', $table . $file . $expires, $secret);
return "/inc/download.php?dir={$table}&fn={$file}&expires={$expires}&signature={$signature}&ext=1";
}
// 파일다운로드 복호화
function validateSignedUrl($table, $file, $expires, $signature, $secret) {
if ($expires < time()) {
return false;
}
$expected_signature = hash_hmac('sha256', $table . $file . $expires, $secret);
return hash_equals($expected_signature, $signature);
}
?>
|
cs |
256 형태로 암호화/복호화 시키고, 1시간내로 시간단위로 만료시간도 정해놓았다.
[ 실제 파일 ]
|
1
2
3
4
5
6
7
|
<?
/*
<a href="/inc/download.php?fn=<?=urlencode($filename1)?>&dir=board_table1&ext=1"><?=$origin_filename1?> (<b><?=$filesize1Str?></b>)</a>
*/
?>
<a href="<?=generateSignedUrl('board_table1', urlencode($filename1), $fileSecretKey)?>"><?=$origin_filename1?> (<b><?=$filesize1Str?></b>)</a>
|
cs |
[download.php]
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
<?
session_start();
if (!$_SESSION[m_id]) {
exit;
}
include $_SERVER['DOCUMENT_ROOT']."/inc/config.php";
$dir = $_GET['dir'];
$fn = $_GET['fn'];
$expires = $_GET['expires'];
$signature = $_GET['signature'];
if (!validateSignedUrl($dir, $fn, $expires, $signature, $fileSecretKey)) {
die("Invalid or expired URL.");
}
$dir = htmlspecialchars($dir);
$fn = htmlspecialchars($fn);
// _와 숫자 영문만 남기고 제거하기
$dir = preg_replace("/[^A-Za-z0-9_]/", "", $dir);
$fn = preg_replace("/[^A-Za-z0-9_.]/", "", $fn);
/*
if(preg_match("/[\xA1-\xFE][\xA1-\xFE]/", $fn)) { // 한글이면 true 반환
$fn = iconv("UTF-8", "EUC-KR", $fn);
}
*/
//$fn = iconv("cp949", "UTF-8", $fn);
if (preg_match("/^utf/i", "utf-8"))
$fn = urlencode($fn);
//$furl = "../pds/". $dir;
$furl = $_SERVER['DOCUMENT_ROOT']."/pds/". $dir;
if ($ext == 1) { $ftype = "file/unknown"; }
else { $ftype = "application/octet-stream"; }
Header("Content-Disposition: attachment; filename=$fn");
//Header("Content-Type: $ftype");
header("content-type: file/unknown");
Header("Content-Length: ".filesize("$furl/$fn"));
Header("Pragma: no-cache");
Header("Expires: 0");
if ($fp = fopen("$furl/$fn", "r")) {
print fread($fp, filesize("$furl/$fn"));
}
fclose($fp);
exit();
?>
|
cs |