php关于盗链问题
2016-04-09 17:00
656 查看
盗链,指服务提供商不提供自己的服务,而是采用一定的技术手段直接获取其他网站提供的服务给用户使用。
举一个典型的例子:我们的网站提供了一个链接,用户可以利用这个链接下载到本网站的资源,而某个下载网站也有这个链接,用户点击了这个链接之后,会下载文件,但是不是在我们网站下载的,而是从这个下载网站下载的。
作为网站的开发者,我们并不想让其他人免费使用我们的链接进行下载,这就需要防止盗链的产生。
防盗链的思路
盗链产生的原因是一些不是我们发出的请求。那么如何检查一个请求是我们发出的呢?有以下方法。
1、检查HTTP_REFERER,这个就是检测上一个地址,判断是否是我们规定的地址,这个东西有可能会被伪造,并不是很靠谱,但是由于使用简单,也可以防止那些菜鸟级的盗链,不过现在使用并不多,因为它太简单了。
下面我们来实现一下:
我们允许mychain.php访问,不允许otherchain.php访问,真正的下载页面是realdownload.php。
mychain.php和otherchain.php都这样子写:
然后我们有一个realdownload.php来验证我们的url是否合法,如果合法就会直接下载DD.txt。
realdownload.php的代码如下:
运行结果:
在地址栏中输入http://localhost:8087/daolian/mychain.php,然后点击链接,如图
这里说明已经下载了。
而我们在地址栏输入http://localhost:8087/daolian/otherchain.php,然后点击链接,就会提示你并不允许下载。
2、给一个临时连接地址,并且记录到coolie或者session里面,通常这种方法使用比较多,它的伪造还是比较难的,因为它相当于在服务器端产生了一个存根,只要对不上号,就无法下载。
这种技术目前还是比较常用的。它的原理是产生一个临时地址,并且记录到session里面去,而我们在下载页面用session来验证它,在验证完毕之后我们删除session。具体的下载代码就不写了。
我们写两个页面:
requestPage.php
responsePage.php
运行如下:
由于id是每次请求时随机生成的,而且用完后立即删除,所以很难伪造。
下面给出一个错误的示例:
区别:第二种开销比较大一些,第一种方式小一些。
举一个典型的例子:我们的网站提供了一个链接,用户可以利用这个链接下载到本网站的资源,而某个下载网站也有这个链接,用户点击了这个链接之后,会下载文件,但是不是在我们网站下载的,而是从这个下载网站下载的。
作为网站的开发者,我们并不想让其他人免费使用我们的链接进行下载,这就需要防止盗链的产生。
防盗链的思路
盗链产生的原因是一些不是我们发出的请求。那么如何检查一个请求是我们发出的呢?有以下方法。
1、检查HTTP_REFERER,这个就是检测上一个地址,判断是否是我们规定的地址,这个东西有可能会被伪造,并不是很靠谱,但是由于使用简单,也可以防止那些菜鸟级的盗链,不过现在使用并不多,因为它太简单了。
下面我们来实现一下:
我们允许mychain.php访问,不允许otherchain.php访问,真正的下载页面是realdownload.php。
mychain.php和otherchain.php都这样子写:
<html> <a href ="realdownload.php">点击进入第二个页面</a> </html>
然后我们有一个realdownload.php来验证我们的url是否合法,如果合法就会直接下载DD.txt。
realdownload.php的代码如下:
<?php if(strstr($_SERVER['HTTP_REFERER'], 'mychain')){ down(); }else{ echo "you are the other chain"; } function down(){ $size = filesize("DD.txt"); header("Content-type:application/plain"); header("Accept-Length:".$size); header("Accept-Ranges:bytes"); header("Content-Disposition:attachment;filename=aa.txt"); //打开该文件 $fp = fopen("DD.txt"); $buffer = 1024;//设置缓冲区 $count = 0; //只要还没有到文件尾 //我们就读取1024个字节并输出 while(!feof($fp) and $count<$size){ $con = fread($fp,$buffer); echo $con; $count +=$buffer; } fclose($fp); }
运行结果:
在地址栏中输入http://localhost:8087/daolian/mychain.php,然后点击链接,如图
这里说明已经下载了。
而我们在地址栏输入http://localhost:8087/daolian/otherchain.php,然后点击链接,就会提示你并不允许下载。
2、给一个临时连接地址,并且记录到coolie或者session里面,通常这种方法使用比较多,它的伪造还是比较难的,因为它相当于在服务器端产生了一个存根,只要对不上号,就无法下载。
这种技术目前还是比较常用的。它的原理是产生一个临时地址,并且记录到session里面去,而我们在下载页面用session来验证它,在验证完毕之后我们删除session。具体的下载代码就不写了。
我们写两个页面:
requestPage.php
<?php session_start(); $key = "tt".rand(2,30); $url = md5($key); $_SESSION['check']=$url; ?> <html> <a href="responsePage.php?id=<?php echo $url?>">downloadpage</a> </html>
responsePage.php
<?php session_start(); if($_SESSION['check']==$_GET['id']){ echo "下载地址正确"; $_SESSION['check'] = ""; }else{ echo "you are the error page"; }
运行如下:
由于id是每次请求时随机生成的,而且用完后立即删除,所以很难伪造。
下面给出一个错误的示例:
区别:第二种开销比较大一些,第一种方式小一些。
相关文章推荐
- php fopen()和file_get_contents() 区别介绍
- 算法_ LongestPalindromicSubstring
- 在PHP中处理表单之—Checkbox
- PHP Callback 回调类型
- PHP算法——生成唯一字符串
- php截取字符串
- php字符串处理函数大全
- php对uploads文件的处理问题的解决
- PHP substr()函数
- 常见的25个顶级PHP模板引擎
- php中header的用法详解
- vsftpd.conf:vsftpd配置文件
- php 中的伪静态
- SublimeText3 配置PHP开发插件
- PHP的多文件上传类
- PHP变量函数(可变函数)
- PHP的单文件上传类
- php之选择排序
- php冒泡排序
- php 中文字符串截取(转载)