php如何防止文件下载盗链_php校验referer来源与登录态双重验证方法-php教程-PHP中文网

php如何防止文件下载盗链_php校验referer来源与登录态双重验证方法

蓮花仙者

发布： 2025-11-26 19:51:05

原创

715人浏览过

通过校验HTTP Referer来源和验证用户登录状态（Session/Token），结合双重验证机制可有效防止文件盗链。首先检查请求是否来自允许的域名，防止外部网站直接链接；再通过session_start()确保用户已登录，未授权用户无法访问核心资源。文件不直接暴露路径，而是由PHP脚本中转输出，确保安全性。典型应用场景包括会员资料、付费课程视频及后台导出功能。进一步建议使用一次性签名链接、限制下载频率、将敏感文件存于web目录外，并记录日志用于审计。Referer仅作辅助，登录态才是关键防线，二者结合更可靠。

php如何防止文件下载盗链_php校验referer来源与登录态双重验证方法

防止文件下载盗链，尤其是通过 PHP 实现对请求来源的校验与用户登录状态的双重验证，是保护私有资源的重要手段。单纯依赖 Referer 并不安全，结合登录态验证才能有效阻止未授权访问。

1. 校验 HTTP Referer 来源

通过检查 $_SERVER['HTTP_REFERER'] 判断请求是否来自允许的域名，可初步防止其他网站直接链接文件。

注意：Referer 可被客户端篡改或为空，仅作辅助判断。

示例代码：

$allowed_domains = ['yourdomain.com', 'www.yourdomain.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';

if (!empty($referer)) {
    $parsed = parse_url($referer);
    $host = $parsed['host'] ?? '';
    if (!in_array($host, $allowed_domains)) {
        die('非法来源');
    }
} else {
    // 无 Referer 时可选择拒绝或进入下一步验证
    die('缺少来源信息');
}

登录后复制

2. 验证用户登录状态（Session 或 Token）

核心资源应基于会话或令牌进行访问控制。文件不直接暴露路径，而是通过 PHP 脚本中转输出。

立即学习“PHP免费学习笔记（深入）”；

示例流程：

用户登录后设置 session：$_SESSION['user_id'] = 123;
下载接口先检查登录态
合法请求再读取并输出文件内容

代码示例：

Dream Machine

Dream Machine 是由 Luma AI 开发的一款 AI 视频生成工具，可以快速将文本和图像转换为高质量的视频内容。

165

查看详情

session_start();

if (!isset($_SESSION['user_id'])) {
    http_response_code(403);
    die('未登录');
}

$file = '/path/to/protected/file.pdf';

if (file_exists($file)) {
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename="' . basename($file) . '"');
    header('Content-Length: ' . filesize($file));
    readfile($file);
    exit;
} else {
    http_response_code(404);
    die('文件不存在');
}

登录后复制

3. 双重验证：Referer + 登录态组合使用

将两者结合，提升安全性。即使 Referer 被绕过，仍需登录权限；即使登录态泄露，也无法从外部站点直接调用。

典型应用场景：

会员专属资料下载
付费课程视频资源
后台管理系统的导出功能

整合代码结构：

session_start();

// 检查登录
if (!isset($_SESSION['user_id'])) {
    die('请登录后下载');
}

// 检查 Referer（增强防御）
$allowed = ['yourdomain.com', 'admin.yourdomain.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';

if (!empty($referer)) {
    $host = parse_url($referer, PHP_URL_HOST);
    if (!in_array($host, $allowed)) {
        error_log("盗链尝试：{$referer}");
        die('非法访问');
    }
}
// 允许空 Referer（如 HTTPS 页面跳转可能丢失），但确保已登录

// 安全输出文件
$file = '/safe/path/' . basename($_GET['file']);
if (is_valid_file($file)) { // 自定义校验逻辑
    header('Content-Type: application/pdf');
    header('Content-Disposition: attachment; filename="download.pdf"');
    readfile($file);
}

登录后复制