28,391
社区成员
发帖
与我相关
我的任务
分享文件下载权限控制求救!
各位大虾,你们做文件下载的权限如何控制的?如果用户登录之后,点击下载,直接可以看到文件的绝对地址哦,这样的话不知道密码的人如果知道绝对地址用绝对地址不就可以下载了?请问你们是怎么样控制的?
...全文
请发表友善的回复…
发表回复
iuhxq 2005-02-03
- 打赏
- 举报
晕倒,楼主去试试再说。
用stream是看不到地址的。
用stream是看不到地址的。
iamif 2005-02-03
- 打赏
- 举报
用stream是可以控制的。stream读入硬盘上的本地文件,这个在网站上是没办法得到的。绝对安全,除非你的机子上有木马~~~~~~
asp,jsp,php和asp.net都是的<%%>之间的东西都是在服务器端运行的。客户端看到的是服务器端运行完程序的输出。所以只要服务器没有源码泄漏的漏洞,客户端是看不到源码的。你放心好了。
asp,jsp,php和asp.net都是的<%%>之间的东西都是在服务器端运行的。客户端看到的是服务器端运行完程序的输出。所以只要服务器没有源码泄漏的漏洞,客户端是看不到源码的。你放心好了。
iuhxq 2005-02-03
- 打赏
- 举报
直接把这些文件放到web目录外边就可以了
iuhxq 2005-02-03
- 打赏
- 举报
不给WEB用户浏览权限。
比如西部数码提供的空间有4个目录
一个wwwroot目录,用来放WEB页
logfiles目录,存放日志
databases,存放数据库
others.............
每个目录权限不同。
比如西部数码提供的空间有4个目录
一个wwwroot目录,用来放WEB页
logfiles目录,存放日志
databases,存放数据库
others.............
每个目录权限不同。
zhjzh_zjz 2005-02-03
- 打赏
- 举报
我感觉只要放在网上的东西,只要人家知道地址你是没办法控制住的,不知道各位大虾是怎么办的。stream虽然可以不让别人看见,但是如果人家知道你用什么办法老控制????因为WEB的运行原理就是下载到本地执行,人家知道地址之后就可以下载下来,你有怎么控制????Stream并不能完全解决这个问题
zhjzh_zjz 2005-02-03
- 打赏
- 举报
to: iuhxq(小灰(http://asp2004.net)) 我明白你的意思,用Stream是可以看不到地址,假使说我已经知道这个地址,虽然看不见,那又有什么用呢??比如说这个网站是我做的,所有文件地址我都知道,内部资料机密文件的地址我都知道,你用Stream别人是可以看不见地址的,strFile 是一个相对地址,我把它换成绝对地址 http://....,那不是一样可以下载吗?你有办法控制住这个嘛??
比如 http://www.xxx.com/secret/movie.mpg; 你可以用 stream 来写,人家是看不见这个地址,但是这个地址我已经知道了,你有什么办法来控制住我不让我下载呢??我直接输入http://www.xxx.com/secret/movie.mpg 皆可以下载了,不用通过验证哦?你明白我的意思吗??
比如 http://www.xxx.com/secret/movie.mpg; 你可以用 stream 来写,人家是看不见这个地址,但是这个地址我已经知道了,你有什么办法来控制住我不让我下载呢??我直接输入http://www.xxx.com/secret/movie.mpg 皆可以下载了,不用通过验证哦?你明白我的意思吗??
zzy0000 2005-02-03
- 打赏
- 举报
mark
tx2ah 2005-02-03
- 打赏
- 举报
努力学习中...
scoutlin 2005-01-31
- 打赏
- 举报
Function DownFile2(strFile)
strFilename = server.MapPath(strFile)
fname=instrrev(replace(strFile,"\","/"),"/")
if fname>0 then
fname=right(strFile,len(strFile)-fname)
else
fname=strFile
end if
Response.ContentType = "application/x-download"
Response.AddHeader "content-disposition", "attachment; filename=" &fname
set Stream=CreateObject("Adodb.Stream")
Stream.Type = 1
Stream.Open
Stream.LoadFromFile strFilename
While Not Stream.EOS
Response.BinaryWrite Stream.Read(1024 * 64)
Wend
Stream.Close
Set Stream = Nothing
Response.Flush
End Function
然后权限控制
strFilename = server.MapPath(strFile)
fname=instrrev(replace(strFile,"\","/"),"/")
if fname>0 then
fname=right(strFile,len(strFile)-fname)
else
fname=strFile
end if
Response.ContentType = "application/x-download"
Response.AddHeader "content-disposition", "attachment; filename=" &fname
set Stream=CreateObject("Adodb.Stream")
Stream.Type = 1
Stream.Open
Stream.LoadFromFile strFilename
While Not Stream.EOS
Response.BinaryWrite Stream.Read(1024 * 64)
Wend
Stream.Close
Set Stream = Nothing
Response.Flush
End Function
然后权限控制
swelltan 2005-01-31
- 打赏
- 举报
不用给出地址阿。用stream.
zhjzh_zjz 2005-01-31
- 打赏
- 举报
server.MapPath(strFile)最终还是在服务器端用到了绝对地址哦,如果人家知道这个地址还是没用的哦,那不还是可以直接输入这个地址下载的吗?我总是觉得还是没办法做到完全控制这个权限的。上面的能不能不能说得再清楚一点?我觉得这样还是有漏洞的。个人感觉,只要放在服务器上的东西人家总是有办法得到的
