路由 *.zip 文件请求上一级,open_basedir 有效

Routing *.zip file requests one level above, with open_basedir in effect

如果 open_basedir 生效,是否可以使用 .htaccess 将 zip 文件请求路由到 public_html 级别?

我问的原因是因为我试图强制下载与 public_html/www 处于同一级别的任何 zip 文件,如果访问者点击看似直接的下载 link.

我正在尝试制作的极其简化的代码可能看起来像这样。

.htaccess

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule (.*)\.(zip)$ dl.php?filename= [L,QSA]

index.php

//various bits of php code, and this below
<div>
    <a href="1.zip">1</a>
</div>
<div>
    <a href="2.zip">2</a>
</div>
<div>
    <a href="3.zip">3</a>
</div>

dl.php

$file = "../../".$_GET['filename'].".zip";

header('Content-type: application/zip');
header('Content-length: ' . filesize($file));
readfile($file);

die();

我应该这样做,还是有更好的方法?我只是想针对一个特定的文件类型执行此操作,在一个特定的页面上可用(index.php,在示例中),所以我并不是真的想为此制作一个完整的路由系统。

假设您的 .htaccess 工作正常,那么您需要 dl.php 做这样的事情以确保安全:

$directory = '../../';

// Get the a file listing from the directory which contains the files
foreach(array_diff(scandir($directory), array('..', '.')) as $file)
{
    if(
        strtolower($file) === strtolower($_GET['filename'].'.zip') && // Check each filename against the requested filename in $_GET. Use strtolower() for case-insensitive filesystems
        is_file($directory.$file) // Make sure that this is a file and not a folder
    )
    {
        // Serve it up!
        header('Content-type: application/zip');
        header('Content-length: ' . filesize($directory.$file));
        readfile($directory.$file);
        die();
    }
}