Cómo almacenar archivos de forma segura en el servidor

Question

lo que estoy haciendo:

Básicamente necesito para crear un sitio web asegurado por una página de acceso escrito en PHP que una vez iniciada la sesión, que tiene una barra de búsqueda que lee los enteros y los datos se envían a un script PHP que recupera una imagen con el número como su nombre.

(Voy a almacenar unos pocos miles de imágenes en este servidor que se debe buscar - imágenes de inventario)

-

Lo que necesito ayudar con:

De mi investigación, entienda que "no" usa bases de datos como MySQL para almacenar imágenes reales debido a la velocidad y la ineficiencia. Si no lo almacena en una base de datos y lo deja en el sistema de archivos del servidor como se sugiere, si alguien escribe una URL directa en una barra de direcciones, ¿no los llevaría a los archivos de mi servidor?

¿Cómo se puede proteger contra esto. No quiero que se vean archivos en mi servidor sin pasar con éxito por la página de inicio de sesión.

Gracias por cualquier ayuda, cualquier idea o sugerencia sería apreciada. Esto es importante para mí porque se agregará información más compleja en el futuro.

Answer 1

una forma o recomienda f El manejo de las descargas de archivos a través de PHP (o cualquier otro script) es mediante el uso del llamado encabezado de respuesta 'X-Sendfile'.

La secuencia de comandos PHP maneja la autenticación y una vez validada establecerá algunos encabezados de respuesta junto con un 'X-Sendfile' que le indica al servidor web que entregue un archivo; el script termina y el servidor web toma el control.

Vea aquí un ejemplo sencillo:

http://www.jasny.net/articles/how-i-php-x-sendfile/

Answer 2

puede hacerlo de esta manera escribir un recurso sirven en php como esta

image.php?requestid=..... 

en ese archivo se obtiene RequestID y leer enlace real (enlace local) de la base de datos, leer archivo de imagen a continuación, los datos de salida a navegador

$id = $_GET['requestid']; 
$link = get_local_link_from_id($id); // return /images/file1.png...... 
$data = file_get_contents($link); 
header('Content-Type', 'image/png'); 
echo $data; 

pero creo que no deberías hacer eso, simplemente cambiar el nombre de archivo de forma aleatoria y crear una gran cantidad de ellos ....

Answer 3

esto puede ser excesiva para su situtation, pero esta es la forma en que estoy pensando en hacerlo en una aplicación que estoy desarrollando:

primera , hay 4 servidores, un servidor web, un servidor middleware y un servidor de datos

cuando alguien envía una solicitud al servidor web, el servidor web se conecta al servidor de middleware y solicita el archivo, pasando el credencial de usuario como una clave de sesión y el archivo solicitado. el middleware se conecta al DB y valida la sesión y los privilegios de ese archivo. devolverá un error o los datos binarios si tienen acceso. si desactiva el almacenamiento en búfer de salida tanto en el servidor web como en el servidor de middleware, puede enviar 100k bloques desde el servidor de middleware al servidor web, y el servidor web generará el primer bloque mientras recibe el segundo bloque.

el propio archivo puede ser almacenado en el servidor de base de datos a través de FTP, SFTP, o de otro tipo de intercambio de archivos

definitivamente no es tan eficiente como el uso de X-sendfile, pero si alguien es capaz de pwn su servidor web, lo harán todavía no tienen acceso al archivo; en los escenarios anteriores, lo harían. el servidor web es el único servidor público, por lo que el resto de los servidores deben estar conectados a una red privada.

también puede enviar los datos a un servidor de cifrado que cifrar/descifrar los datos reales de los archivos

si alguien tiene alguna idea sobre cómo mejorar en esto, estoy interesado.