问题说明

文件下载，通常有一种最为简单的方法，那就是将url直接指向服务器上文件的所在位置。但是这个方法存在很大的安全隐患。

1.暴露了服务器文件目录结构

2.无法禁止非法请求来源，无法对文件下载请求做安全验证

解决方案

一、将文件下载请求映射到后端程序url

借助http服务器(apache/nginx)实现映射功能

这里以apache为例进行说明

借助apache的rewrite模块，配置rewrite规则。(关于如何开启rewrite模块，网上很多资源，这里不再赘诉)

在项目根目录下创建.htaccess文件，写入rewrite规则RewriteEngine on

#将所有以rar/zip结尾的url，映射给download.php文件

RewriteRule (.*\.(rar|zip))$ download.php?file=$1 [NC]

将所有以rar/zip结尾的url，映射给download.php文件(这里为了方便直接映射到了一个php脚本中，如果是使用框架，那就映射到具体的控制器中的某个方法！例如：index.php?c=home&a=download)

二、编写具体的文件下载逻辑

项目目录

以本地项目为例，用户需要下载的zip文件，放在当前项目的temp目录下

示例

直接上代码，代码中有详细注释<?php

//接收需要下载的文件名称

if(!isset($_GET['file'])) exit('Filename is empty');

if(empty($_GET['file'])) exit('Filename not valid');

ob_clean();//清除一下缓冲区

//获得文件名称

$filename = basename(urldecode($_GET['file']));

//文件完整路径(这里将真实的文件存放在temp目录下)

$filePath = __DIR__."/temp/".$filename;

//将utf8编码转换成gbk编码，否则，文件中文名称的文件无法打开

$filePath = iconv('UTF-8','gbk',$filePath);

//检查文件是否可读

if(!is_file($filePath) || !is_readable($filePath)) exit('Can not access file '.$filename);

/**

* 这里应该加上安全验证之类的代码，例如：检测请求来源、验证UA标识等等

*/

//以只读方式打开文件，并强制使用二进制模式

$fileHandle=fopen($filePath,"rb");

if($fileHandle===false){

exit("Can not open file: $filename");

}

//文件类型是二进制流。设置为utf8编码(支持中文文件名称)

header('Content-type:application/octet-stream; charset=utf-8');

header("Content-Transfer-Encoding: binary");

header("Accept-Ranges: bytes");

//文件大小

header("Content-Length: ".filesize($filePath));

//触发浏览器文件下载功能

header('Content-Disposition:attachment;filename="'.urlencode($filename).'"');

//循环读取文件内容，并输出

while(!feof($fileHandle)) {

//从文件指针 handle 读取最多 length 个字节(每次输出10k)

echo fread($fileHandle, 10240);

}

//关闭文件流

fclose($fileHandle);

这里只是做了一个示例(只包括核心功能)，为了方便说明直接以GET方式从url中获取用户想要下载的文件名称

注意以下两行代码(为了能够下载中文名称的文件)$filePath = iconv('UTF-8','gbk',$filePath);

header('Content-type:application/octet-stream; charset=utf-8');

如果用户需要下载的是中文名称的文件。则需要将文件路径转换成gbk编码，否则会出现 文件不存在 之类的错误。header中设置utf8编码，也是同样的道理

下载文件

打开浏览器，访问 http://127.0.0.1/rewrite/尴尬.zip 文件便开始下载了。

【推荐学习：PHP视频教程】