php授权访问文件,php – 防止仅为未经授权的用户直接访问上传的文件 – Symfony...

最新推荐文章于 2022-02-19 13:08:27 发布
最新推荐文章于 2022-02-19 13:08:27 发布
阅读量109 收藏
点赞数
文章标签: php授权访问文件

我试图直接访问我的网站中登录用户的上传文件,以解决安全问题.我尝试了

this配置,但它似乎正在下载图像.

这是我正在显示图像的Twig文件代码.

{% if(req.media!='') %}

data-fancybox class="fancybox">

height="70px"/>

{% endif %}

下面是奏鸣曲媒体的配置.

Sonata_media.yml

sonata_media:

# if you don't use default namespace configuration

#class:

# media: MyVendor\MediaBundle\Entity\Media

# gallery: MyVendor\MediaBundle\Entity\Gallery

# gallery_has_media: MyVendor\MediaBundle\Entity\GalleryHasMedia

db_driver: doctrine_orm # or doctrine_mongodb, doctrine_phpcr it is mandatory to choose one here

default_context: default # you need to set a context

contexts:

default: # the default context is mandatory

download:

strategy: sonata.media.security.forbidden_strategy

providers:

#- sonata.media.provider.dailymotion

#- sonata.media.provider.youtube

- sonata.media.provider.image

- sonata.media.provider.file

#- sonata.media.provider.vimeo

最佳答案 我按照这些步骤来实现这一要求.

>创建了一个函数并在防火墙中添加了它的路由,因此匿名用户无法访问该路径.

>创建了一条路径来设置其路径.

>在函数中获得了媒体ID并执行了返回文件的功能.

>使用参数mediaId通过其路径调用函数,而不是在树枝中调用直接媒体.

这是代码.

security.yml

- { path: ^/user(.*), roles: ROLE_DASHBOARD_USER }

使用routing.yml

cms_direct_access_uploaded_files:

path: /user/image-return/{fileId}

defaults: { _controller: CMSFrontUserBundle:Dashboard:DirectAccessUploadedMedia }

调节器

public function DirectAccessUploadedMediaAction(Request $request,$fileId = null){

$user = $this->getUser();

if(!empty($user)){

$DM = $this->getDoctrineManager();

$media = $DM->getRepository('ApplicationSonataMediaBundle:Media')->find($fileId);

if(!empty($media)) {

$provider = $this->container->get( $media->getProviderName() );

$format = $provider->getFormatName( $media, 'reference' );

$url = $provider->generatePublicUrl( $media, $format );

$ext = pathinfo($url, PATHINFO_EXTENSION);

$returnFile = $_SERVER['DOCUMENT_ROOT'] .'/web'. $url;

if (file_exists($returnFile)) {

if($ext == 'pdf'){

header("Content-Type: application/pdf");

}else{

header("Content-Type: image/jpeg");

}

header('Expires: 0');

header('Cache-Control: must-revalidate');

header('Pragma: public');

header('Content-Length: ' . filesize($returnFile));

readfile($returnFile);

exit;

}

}else{

throw $this->createAccessDeniedException('Forbidden!');

}

}else{

throw $this->createAccessDeniedException('Forbidden!');

}

}

枝条

{{ url('homepage') }}user/image-return/{{ req.media.id }}

焕德
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 域名授权系统,开源程序|PHP域名授权系统 V1.1
weixin_42393272的博客
03-10 1656
优启梦域名授权说明简介本域名授权系统,是PHP框架练习作品,先上基本功能,以后慢慢在拓充,非彩虹系列产品,源码全开源。nginx伪静态规则location / {if (!-e $request_filename){rewrite ^(.*)$ /index.php;}}安装说明v1.1①更新后台权限问题②修复Linux目录问题③增加修改后台密码④增加案例演示代码v1.0域名授权增删改查功能安装说...
php如何返回401错误,php Symfony安全性返回401响应而不是重定向
weixin_42501119的博客
03-23 486
我正在编写一个带有ajax身份验证的ajax应用程序,现在我开始在silex中使用symfony安全组件来处理身份验证/授权.使用简单配置进行简单测试,我通过防火墙进入受保护区域,我得到的响应是重定向到/ login页面,但我在应用程序中需要的是401响应,可能有其他信息(在标题或关于如何登录的json body.$app['security.firewalls'] = ['api' => ...
php使用Cookie控制访问授权的方法
12-18
本文实例讲述了php使用Cookie控制访问授权的方法。分享给大家供大家参考。具体如下: 复制代码 代码如下:<?php      if(isset($_POST[‘name’])||isset($_POST[‘pass’])){          //如果有表单有提交          //检测表单中需要的值          if(empty($_POST[‘name’])){              die(“请输入用户名!”);          }          if(empty($_POST[‘pass’])){              die(“请输入密码
php授权访问文件,php,laravel_laravel 如何实现对文件授权访问?,php,laravel,symfony - phpStudy...
weixin_28950415的博客
03-17 143
laravel 如何实现对文件授权访问?在laravel的public目录下有个res的目录,想在用户访问里面的图片的时候鉴定是否有权限,但是用户输入地址会直接访问到这个文件,不会经过auth中间件的鉴定,例如:在public下的res目录里面放一个图片,如图路由:Route::get('/res/{res}', ['middleware' => 'auth', 'uses' => '...
php 有没有必须登录后才能访问 文件的权限_怎么无密码登录网站后台?试试变量覆盖漏洞...
weixin_39946429的博客
02-03 477
1前言各位师傅们有没有这样的经历,看着大佬随便爆破就可以进别人网站的后台,嘴上mmp,心里还要mmp,怎么自己的字典就那么呢,没办法,苦求无门,只能自己另寻办法解决。经过学习发现这么个变量覆盖漏洞,可以不用账号密码登录别人的网站后台,一起来学习一下吧。2变量的概念(有点绕,就是用来赋值的某个东西)学习任意一门编程语言或者其他,我们都会接触到一个东西,那就是变量。变量是什么...
php文件让几个ip段访问,php限制单个IP与ip段访问的代码
weixin_28963585的博客
03-10 268
例1,禁止单个IP访问,实现单IP访问限制。复制代码 代码示例://加IP访问限制if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {$userip = getenv('HTTP_CLIENT_IP');} elseif(getenv('HTTP_X_FORWARDED_F...
PHP-CRUD-API:将 REST API 添加到 MySQL/MariaDB、PostgreSQL、SQL Server 或 SQLite 数据库的单个文件 PHP 脚本
allway2的博客
02-19 1001
https://github.com/mevdschee/php-crud-api 将 REST API 添加到 MySQL/MariaDB、PostgreSQL、SQL Server 或 SQLite 数据库的单个文件 PHP 脚本。 注意:这是 PHP 中的TreeQL参考实现。 相关项目: JS-CRUD-API: PHP-CRUD-API API 的 JavaScript 客户端库 PHP-API-AUTH:单个文件 PHP 脚本,它是 PHP-CRUD-API 的身份验证提供程序 P.
如何使用Symfony安全组件进行用户身份验证
代码教主
06-20 699
在本文中,您将学习如何使用Symfony Security组件在PHP中设置用户身份验证。 除了身份验证之外,我还将向您展示如何使用其基于角色的授权,您可以根据需要对其进行扩展。 Symfony安全组件 Symfony安全组件使您可以更轻松地设置安全功能,例如身份验证,基于角色的授权,CSRF令牌。 实际上,它进一步分为四个子组件,您可以根据需要进行选择。 安全组件具有以下子组件: ...
php Symfony The.Fast.Track
01-11
和他为什么会成为这样的。不过也有一些不足的地方那就是实例太少了。你看完书后可能发现一个完整的例子几乎是不存在的。可能会要求有一定的基础的人才可以看得懂。而且对面向对象有很深的认识。 介绍了symfony这个...
Symfony高性能php框架 v4.4.18
12-28
为您提供Symfony高性能php框架下载,简单的模板功能symfony是一个开源的PHP Web框架。基于最佳Web开发实践,已经有多个网站完全采用此框架开发,symfony的目的是加速Web应用的创建与维护。它的特点如下:缓存管理...
基于PHPSymfony高性能php框架.zip
07-23
基于PHPSymfony高性能php框架.zip
基于PHPSymfony web应用php框架.zip
07-23
基于PHPSymfony web应用php框架.zip
php 域名加密授权,php域名授权后 网站才能访问 网站加密 防止拷贝
weixin_31695145的博客
03-09 393
1 public functiongetdata()2 {34 //json5 //6 // endtime7 // lasttime8 // createtime9 // updatetime10 // deletetime11 // weigh12 // switch13 // state1415 //获取域名 或者ip16 $data[‘ip‘] = $this-&g...
【分类数据集】蔬菜水果分类数据集2万张30类别.zip
最新发布
06-22
【分类数据集】蔬菜水果分类数据集2万张30类别 此数据集为图像分类数据集,非目标检测数据集,文件包含test、train、val三个文件夹及对应的CSV文件,30类别名称如下:aloevera banana bilimbi cantaloupe cassava coconut corn cucumber curcuma eggplant galangal ginger guava kale longbeans mango melon orange paddy papaya peperchili pineapple pomelo shallot soybeans spinach sweetpotatoes tobacco waterapple watermelon
西门子FB41-pid功能块在codesys上翻译成ST语言进行移植,可正常编译
06-22
西门子FB41-pid功能块在codesys上翻译成ST语言进行移植,可正常编译无错误
TPS2HB35 Altium Designer PCB库
06-22
TPS2HB35 AltiumDesigner 原理图库
symfony】EventDispatcherInterface.php
05-15
`EventDispatcherInterface.php` 是 Symfony 框架中的一个接口文件,用于定义事件调度器(Event Dispatcher)的接口规范。 事件调度器是一种设计模式,它允许我们在应用程序中注册、监听和触发事件。在 Symfony 框架中,事件调度器是一个非常重要的组件,它被广泛地应用于各种场景,如监听 HTTP 请求、处理表单提交、处理数据库操作等等。 `EventDispatcherInterface.php` 定义了事件调度器的接口规范,包括以下方法: - `addListener($eventName, $listener, $priority = 0)`:注册一个事件监听器; - `addSubscriber(EventSubscriberInterface $subscriber)`:注册一个事件订阅者; - `removeListener($eventName, $listener)`:移除一个事件监听器; - `removeSubscriber(EventSubscriberInterface $subscriber)`:移除一个事件订阅者; - `dispatch($event, $eventName = null)`:触发一个事件,并派发到所有相关的监听器。 通过实现 `EventDispatcherInterface` 接口,我们可以自定义事件调度器的实现,以满足应用程序的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值