回答編集履歴
4
サンプルコードを編集
answer
CHANGED
|
@@ -1,3 +1,5 @@
|
|
|
1
|
+
Warningを見たところ$_GET['file']が取得できていないようですね。
|
|
2
|
+
|
|
1
3
|
まずgetのパラメータにurlを構成する文字列等が入る場合はurlエンコードしたものを書く必要があります。
|
|
2
4
|
http://~~/download.php?file=audio%2fsample%2emp3
|
|
3
5
|
|
|
@@ -9,6 +11,8 @@
|
|
|
9
11
|
これは別件ですがgetで渡された値をノーチェックでreadfileに渡すのはかなり恐ろしいことなので
|
|
10
12
|
外部に公開するようなページの場合は参照してはいけないファイルではないかのチェックは行ったほうがよいでしょう。
|
|
11
13
|
|
|
14
|
+
複雑なサイトでなければ配列を利用した簡易チェックが楽でしょうか。
|
|
15
|
+
アクセスするURL http://~~/download.php?file=sample1
|
|
12
16
|
```php
|
|
13
17
|
<?php
|
|
14
18
|
if ( empty( $_GET['file'] ) {
|
|
@@ -16,14 +20,26 @@
|
|
|
16
20
|
exit;
|
|
17
21
|
}
|
|
18
22
|
|
|
23
|
+
// この配列に含まれないものはダウンロードできないようにする
|
|
24
|
+
$CONTENTS_LIST = [
|
|
25
|
+
// キー名にgetで渡す値、要素にファイルパス
|
|
19
|
-
|
|
26
|
+
'sample1' => 'audio/sample.mp3',
|
|
27
|
+
'sample2' => 'audio/sample2.mp3',
|
|
28
|
+
'sample3' => 'audio/sample3.mp3',
|
|
29
|
+
'sample4' => 'audio/sample4.mp3',
|
|
30
|
+
];
|
|
20
31
|
|
|
21
|
-
//
|
|
32
|
+
// $CONTENTS_LISTに含まれないファイルを弾く
|
|
33
|
+
if ( !in_array( $_GET['file'], array_keys($CONTENTS_LIST) ) ) {
|
|
34
|
+
echo 'ファイル名が異常です';
|
|
35
|
+
exit;
|
|
36
|
+
}
|
|
37
|
+
|
|
38
|
+
$file = $CONTENTS_LIST[ $_GET['file'] ];
|
|
22
39
|
if ( !file_exists( $file ) ) {
|
|
23
40
|
echo '存在しないファイルです';
|
|
24
41
|
exit;
|
|
25
42
|
}
|
|
26
|
-
|
|
27
43
|
// ファイルを出力
|
|
28
44
|
header('Content-Type: application/force-download');
|
|
29
45
|
header('Content-Length: '.filesize($file));
|
3
サンプルコード追記
answer
CHANGED
|
@@ -1,8 +1,32 @@
|
|
|
1
|
-
getのパラメータにurlを構成する文字列等が入る場合はurlエンコードしたものを書く必要があります。
|
|
1
|
+
まずgetのパラメータにurlを構成する文字列等が入る場合はurlエンコードしたものを書く必要があります。
|
|
2
2
|
http://~~/download.php?file=audio%2fsample%2emp3
|
|
3
3
|
|
|
4
|
-
あとheader出力前のprintは実際のダウンロード時は消しましょう。
|
|
5
|
-
```print("$file<br>\n");```
|
|
4
|
+
あとテストコードと思われますが、header出力前のprintは実際のダウンロード時は消しましょう。```print("$file<br>\n");```
|
|
6
5
|
|
|
6
|
+
[PHP: header - Manual](https://secure.php.net/manual/ja/function.header.php)
|
|
7
|
+
> header() 関数は、 通常の HTML タグまたは PHP からの出力にかかわらず、すべての実際の 出力の前にコールする必要があることです。
|
|
8
|
+
|
|
7
9
|
これは別件ですがgetで渡された値をノーチェックでreadfileに渡すのはかなり恐ろしいことなので
|
|
8
|
-
外部に公開するようなページの場合は参照してはいけないファイルではないかのチェックは行ったほうがよいでしょう。
|
|
10
|
+
外部に公開するようなページの場合は参照してはいけないファイルではないかのチェックは行ったほうがよいでしょう。
|
|
11
|
+
|
|
12
|
+
```php
|
|
13
|
+
<?php
|
|
14
|
+
if ( empty( $_GET['file'] ) {
|
|
15
|
+
echo 'ファイル名が取得できませんでした';
|
|
16
|
+
exit;
|
|
17
|
+
}
|
|
18
|
+
|
|
19
|
+
$file = $_GET['file'];
|
|
20
|
+
|
|
21
|
+
// ファイルの存在チェックや参照してはいけないファイルのチェックなどはこのあたりに書く
|
|
22
|
+
if ( !file_exists( $file ) ) {
|
|
23
|
+
echo '存在しないファイルです';
|
|
24
|
+
exit;
|
|
25
|
+
}
|
|
26
|
+
|
|
27
|
+
// ファイルを出力
|
|
28
|
+
header('Content-Type: application/force-download');
|
|
29
|
+
header('Content-Length: '.filesize($file));
|
|
30
|
+
header('Content-Disposition: attachment; filename="'.$file.'"');
|
|
31
|
+
readfile($file);
|
|
32
|
+
```
|
2
編集
answer
CHANGED
|
@@ -1,5 +1,8 @@
|
|
|
1
1
|
getのパラメータにurlを構成する文字列等が入る場合はurlエンコードしたものを書く必要があります。
|
|
2
2
|
http://~~/download.php?file=audio%2fsample%2emp3
|
|
3
3
|
|
|
4
|
+
あとheader出力前のprintは実際のダウンロード時は消しましょう。
|
|
5
|
+
```print("$file<br>\n");```
|
|
6
|
+
|
|
4
7
|
これは別件ですがgetで渡された値をノーチェックでreadfileに渡すのはかなり恐ろしいことなので
|
|
5
8
|
外部に公開するようなページの場合は参照してはいけないファイルではないかのチェックは行ったほうがよいでしょう。
|
1
セキュリティ面での注意書き追加
answer
CHANGED
|
@@ -1,2 +1,5 @@
|
|
|
1
1
|
getのパラメータにurlを構成する文字列等が入る場合はurlエンコードしたものを書く必要があります。
|
|
2
|
-
http://~~/download.php?file=audio%2fsample%2emp3
|
|
2
|
+
http://~~/download.php?file=audio%2fsample%2emp3
|
|
3
|
+
|
|
4
|
+
これは別件ですがgetで渡された値をノーチェックでreadfileに渡すのはかなり恐ろしいことなので
|
|
5
|
+
外部に公開するようなページの場合は参照してはいけないファイルではないかのチェックは行ったほうがよいでしょう。
|