Как заблокировать возможность скачивания файлов по прямой ссылке?

Question

[privat13]

Дано:
Есть сайт (PHP). Есть личный кабинет пользователя. В личном кабинете есть файлы для скачивания.

Цель:
Сделать так, чтобы неавторизированный пользователь не мог скачивать файлы по прямой ссылке.

Answer 1

[Талян]

<?php
$file=$_GET['file'];
if($_SESSION['auth']==true)
{
header("Content-type: application/octet-stream");
readfile($file);
die();
}
else
{
die("Вы кто такие, я вас не звал..");
}

Ссылка на скачивание должна вести на этот PHP-файл, а в параметре GET указано имя файла.
В сессии передавайте - может ли качать пользователь файл или нет.

Comments

[privat13]

но физически файл будет лежать на сервере и к нему все равно можно будет пройти по абсолютной ссылке?

[Талян]

privat13, положите в директорию с файлами .htaccess

Order Deny, Allow
Deny from All

[ThunderCat]

Талян, правильнее положить папку выше документ рут, а то при смене сервера на нжинкс ваши хтаксесы превратятся в тыкву...

[Виктор Таран]

определяй хост в рефери и по этому хосту отадвай остальным х а не коммисарского тела.

Answer 2

[Андрей Николаев]

В статье "Отдаем файлы эффективно с помощью PHP" рассмотрены эффективные способы.