建议调整一下file_key 的处理,解决绕过提取码限制的BUG
为了防止猜测下载路径,在file_id后加入了随机的file_key,这点很好,但我觉得仍不够科学,对文件的保护仍不到位。file_key是在上传文件时添加进数据库的,这就永久固定了。建议把file_key改为用浏览器的cookie随机生成,或者至少能由用户重新随机生成,更新数据库。
理由如下:
如果是通过提取码提取文件,就会知道每个文件最终的file_key,也就是文件的最终下载页,如:
http://localhost/viewfile.php?file_id=6&file_key=kd0eT79
只要用户记录下这个路径,以后就可以不用提取码直接打开该页。这么一来,提取码的日期/下载次数限制功能就可以完全绕过了 嗯,这建议会参考的。 这个必须顶 这个必须顶
页:
[1]