php关于盗链问题

盗链，指服务提供商不提供自己的服务，而是采用一定的技术手段直接获取其他网站提供的服务给用户使用。

举一个典型的例子：我们的网站提供了一个链接，用户可以利用这个链接下载到本网站的资源，而某个下载网站也有这个链接，用户点击了这个链接之后，会下载文件，但是不是在我们网站下载的，而是从这个下载网站下载的。

作为网站的开发者，我们并不想让其他人免费使用我们的链接进行下载，这就需要防止盗链的产生。

防盗链的思路

盗链产生的原因是一些不是我们发出的请求。那么如何检查一个请求是我们发出的呢？有以下方法。

1、检查HTTP_REFERER,这个就是检测上一个地址，判断是否是我们规定的地址，这个东西有可能会被伪造，并不是很靠谱，但是由于使用简单，也可以防止那些菜鸟级的盗链，不过现在使用并不多，因为它太简单了。

下面我们来实现一下：

我们允许mychain.php访问，不允许otherchain.php访问,真正的下载页面是realdownload.php。

mychain.php和otherchain.php都这样子写：

<html>
<a href ="realdownload.php">点击进入第二个页面</a>
</html>

然后我们有一个realdownload.php来验证我们的url是否合法，如果合法就会直接下载DD.txt。

realdownload.php的代码如下：

<?php
if(strstr($_SERVER['HTTP_REFERER'], 'mychain')){
down();
}else{
echo "you are the other chain";
}

function down(){
$size = filesize("DD.txt");
header("Content-type:application/plain");
header("Accept-Length:".$size);
header("Accept-Ranges:bytes");
header("Content-Disposition:attachment;filename=aa.txt");
//打开该文件
$fp = fopen("DD.txt");
$buffer = 1024;//设置缓冲区
$count = 0;
//只要还没有到文件尾
//我们就读取1024个字节并输出
while(!feof($fp) and $count<$size){
$con = fread($fp,$buffer);
echo $con;
$count +=$buffer;
}
fclose($fp);

}

运行结果：

在地址栏中输入http://localhost:8087/daolian/mychain.php，然后点击链接，如图



这里说明已经下载了。

而我们在地址栏输入http://localhost:8087/daolian/otherchain.php，然后点击链接，就会提示你并不允许下载。





2、给一个临时连接地址，并且记录到coolie或者session里面，通常这种方法使用比较多，它的伪造还是比较难的，因为它相当于在服务器端产生了一个存根，只要对不上号，就无法下载。

这种技术目前还是比较常用的。它的原理是产生一个临时地址，并且记录到session里面去，而我们在下载页面用session来验证它，在验证完毕之后我们删除session。具体的下载代码就不写了。

我们写两个页面：

requestPage.php

<?php
session_start();
$key = "tt".rand(2,30);
$url = md5($key);
$_SESSION['check']=$url;
?>
<html>
<a href="responsePage.php?id=<?php echo $url?>">downloadpage</a>
</html>

responsePage.php

<?php

session_start();
if($_SESSION['check']==$_GET['id']){
echo "下载地址正确";
$_SESSION['check'] = "";
}else{
echo "you are the error page";
}

运行如下：





由于id是每次请求时随机生成的，而且用完后立即删除，所以很难伪造。

下面给出一个错误的示例：



区别：第二种开销比较大一些，第一种方式小一些。