PHP应生成带时效签名的视频URL(如/play.php?vid=123&sig=abc123&exp=1717028400),play.php校验签名、过期时间及权限后,通过fopen/fseek/fpassthru流式输出视频,并正确设置HTTP Range头以支持拖拽,严禁直接暴露真实路径或使用readfile简单输出。
用 PHP 生成带时效签名的视频 URL
直接在 HTML 的 标签里写死视频路径等于把资源完全暴露。正确做法是让 PHP 动态生成一个「一次有效、有时效、绑用户」的播放链接,后端校验通过才允许 Nginx/Apache 返回文件。
核心逻辑:不返回真实路径,而是返回类似 /play.php?vid=123&sig=abc123&exp=1717028400 这样的中转 URL,play.php 负责验证签名和过期时间,再用 readfile() 或 fpassthru() 输出视频流。
- 签名建议用
hash_hmac('sha256', $vid . '|' . $exp, $_ENV['SECRET_KEY']),避免被篡改 -
$exp是 Unix 时间戳,比如time() + 300表示 5 分钟后失效 - 务必校验
$exp >= time(),否则重放攻击可复用旧链接 - 不要在 URL 中暴露原始文件名或完整路径,防止路径遍历(如
../../etc/passwd)
PHP 中用 readfile() 输出视频时的关键设置
很多人用 readfile() 后发现视频无法拖拽、卡顿、或只播一半——这几乎全是 HTTP 头没设对导致的。浏览器需要 Accept-Ranges 和正确的 Content-Range 才能做分片请求(seek)。
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-cache');
header('Pragma: no-cache');
// 必须根据 $_SERVER['HTTP_RANGE'] 做处理
if (isset($_SERVER['HTTP_RANGE'])) {
$file = '/path/to/video.mp4';
$size = filesize($file);
[$unit, $range] = explode('=', $_SERVER['HTTP_RANGE'], 2);
[$start, $end] = explode('-', $range) + [0, $size - 1];
$start = (int)$start;
$end = ($end === '') ? $size - 1 : (int)$end;
header("HTTP/1.1 206 Partial Content");
header("Content-Range: bytes {$start}-{$end}/{$size}");
header("Content-Length: " . ($end - $start + 1));
$fp = fopen($file, 'rb');
fseek($fp, $start);
fpassthru($fp);
fclose($fp);
exit;}
立即学习“PHP免费学习笔记(深入)”;
// 普通全量请求
header('Content-Length: ' . filesize('/path/to/video.mp4'));
readfile('/path/to/video.mp4');
如何防止盗链和跨域直接下载
仅靠 PHP 签名 URL 不足以防住工具批量抓取。必须配合 Web 服务器层限制:
- Nginx 配置中用
valid_referers拦掉非本站来源的.mp4请求 - 对
/play.php接口加 Referer 校验(但注意移动端/隐私模式可能为空,不能强依赖) - 更可靠的是结合 session 或 JWT,在
play.php中查用户是否已登录、是否有该视频权限(比如查数据库user_id和video_id关联记录) - 避免把视频放在 Web 可直访目录下,推荐放到
/var/www/private/videos/这类非公开路径
为什么不要用 PHP 直接代理大视频文件
用 file_get_contents() 读几百 MB 视频再 echo,极易触发内存溢出(Fatal error: Allowed memory size exhausted)或超时(max_execution_time)。PHP 不是为流式大文件设计的。
- 必须用
fopen()+fseek()+fpassthru()分块输出,控制内存占用在 KB 级别 - 禁用输出缓冲:
ob_end_clean()和ini_set('output_buffering', 'Off') - 如果并发高,建议用 X-Sendfile(Apache)或 X-Accel-Redirect(Nginx)交由 Web 服务器处理实际文件传输,PHP 只做鉴权
- 注意
fpassthru()前不能有任何输出(包括 BOM、空格、echo),否则 Header 已发送会报错
视频权限控制真正的难点不在 PHP 写几行代码,而在于签名机制是否抗重放、HTTP Range 是否真正支持拖拽、以及 Web 服务器与 PHP 的职责边界是否清晰。漏掉任意一环,都可能让“有权限”变成“谁都能下”。
