cubicle 发表于 2009-12-18 23:40:51

建议调整一下file_key 的处理,解决绕过提取码限制的BUG

为了防止猜测下载路径,在file_id后加入了随机的file_key,这点很好,但我觉得仍不够科学,对文件的保护仍不到位。


file_key是在上传文件时添加进数据库的,这就永久固定了。建议把file_key改为用浏览器的cookie随机生成,或者至少能由用户重新随机生成,更新数据库。


理由如下:
如果是通过提取码提取文件,就会知道每个文件最终的file_key,也就是文件的最终下载页,如:
http://localhost/viewfile.php?file_id=6&file_key=kd0eT79
只要用户记录下这个路径,以后就可以不用提取码直接打开该页。这么一来,提取码的日期/下载次数限制功能就可以完全绕过了

along 发表于 2009-12-20 17:10:49

嗯,这建议会参考的。

shenqin 发表于 2011-6-5 19:14:34

这个必须顶

zhumeng99 发表于 2011-6-29 22:07:28

这个必须顶
页: [1]
查看完整版本: 建议调整一下file_key 的处理,解决绕过提取码限制的BUG