Licznik downloadu Opcje

[-php programmer-]

Mam coś takiego.

<A href="plik.zip">Plik do ściągnięcia</A>

Poniważ elementem docelowym nie jest strona tylko plik,
więc nie moge sobie tak po prostu zrobić licznika,
A chciałbym wiedzieć ile osób zapisało (zrobiło download na swój dysk)
dany plik z mojego serwera. Jak to zrobić (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[bregovic]

[HTML] pobierz, plaintext 
<a href="download.php?file=plik.zip">plik</a>
[HTML] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
//wpisz informacje:
mysql_connect();
mysql_select_db();
mysql_query(&#092;"update downloads set downloaded=downloaded+1 where file='\".$_GET['file'].\"';\");
 
header('Content-type: '.mime_content_type($_GET['file']));
header('Content-Disposition: attachment; filename=\"'.$_GET['file'].'\"');
readfile($_GET['file']);
 
?>
[PHP] pobierz, plaintext 

[zYm3N]

/etc/passwd ?

/cfg/config.inc

?

czy to jest aby bezpieczne ?

[bregovic]

zYm3N: Ja mu nie podałem stuprocentowego rozwiazania, tylko szkic. Zreszta dosc latwo jest zabezpieczyc ten skrypt. Wystarczy np tak:

[PHP] pobierz, plaintext 
<?php
$_GET['file'] = 'download/'.$_GET['file'];
if(is_file($_GET['file']) && strpos($_GET['file'], '..') != false)
{
	//wpisz informacje:
	mysql_connect();
	mysql_select_db();
	mysql_query(&#092;"update downloads set downloaded=downloaded+1 where file='\".$_GET['file'].\"';\");
 
	header('Content-type: '.mime_content_type($_GET['file']));
	header('Content-Disposition: attachment; filename=\"'.$_GET['file'].'\"');
	readfile($_GET['file']);
}
else
{
	print 'Prawdopodobna próba ataku!';
}
?>
[PHP] pobierz, plaintext 

[zYm3N]

tak, ale dział to "początkujący" i należy zakładać, że kolega raczej nie interesował się zabezpieczaniem swoich skryptów :-)

if(is_file($_GET['file']) && strpos($_GET['file'], '..') != false)

A jeśli nazwa wygląda:

to_jest_nazwa_pliku..jpg

bo uzytkownikowi się pomyliło ? :-)

To nie jest najlepszy pomysł. Lepiej dać regularne.

strpos($_GET['file'], '..') != false

strpos
strpos -- Find position of first occurrence of a string

Czyli, że jeżeli w ciągu jest '..' to wynikiem będzie true, a true!=false jest prawdą, czyli że wejdzie ? hm ;-)

Albo ja coś mylę, albo Ty się pomyliłeś :-)

[bregovic]

Masz rację, pomyliło mi się (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Powinno oczywiście być:

[PHP] pobierz, plaintext 
<?php
$_GET['file'] = 'download/'.$_GET['file'];
if(is_file($_GET['file']) && strpos($_GET['file'], '..') != true)
{
	//wpisz informacje:
	mysql_connect();
	mysql_select_db();
	mysql_query(&#092;"update downloads set downloaded=downloaded+1 where file='\".$_GET['file'].\"';\");
 
	header('Content-type: '.mime_content_type($_GET['file']));
	header('Content-Disposition: attachment; filename=\"'.$_GET['file'].'\"');
	readfile($_GET['file']);
}
else
{
	print 'Prawdopodobna próba ataku!';
}
?>
[PHP] pobierz, plaintext 

Imo zdecydowanie nie ma żadnego sensu dawać regularnych. Tylko kretyn używa w nazwie swojego pliku dwóch kropek '..' - a zastartowanie silnika wyrażeń regularnych żeby pomóc kretynom, to imo zły pomysł...

Ten post edytował bregovic 6.11.2004, 12:10:54

[zYm3N]

a jeśli to jest część skryptu za pomocą którego można ściągać pliki dostępne na serwerze po uprzednim wysłaniu ich ? :-)

Wiesz, laski czesto mają pliki w stylu:

"pamiętnik...txt"

Jakoś połowicznie sprawne rozwiązania nie przekonywują mnie :-)

Na miejscu autora wątku założyłbym sobie tabele w bazie danych. Nawet dwie :-)

Jedna, to pliki: id -> nazwa
Druga to: id_pliku -> id pierwszej + wszystkie ciekawe informacje wyświetlane przy okazji phpinfo(); Dzięki temu zrobienie w przyszłości statystyk to rzecz prosta i przyjemna :-)

A to, że teraz tego nie wykorzysta.. no dobra, ale statsy pójdą :-))

pzodr.

[bregovic]

Zaraz, php programmer zapytał się, cytuje:

chciałbym wiedzieć ile osób zapisało (zrobiło download na swój dysk)
dany plik z mojego serwera

Nikt nie ma szansy wiedzieć czy on używa tego systemu jako coś większego, czy tylko jako standalone... Oczywiscie, jeśli to ma być część CMSa lub Frameworka, to jasne, dla każdego pliku powinien być rekord w bazie danych, i wtedy wystarczy zamiast nazwy pliku dać identyfikator...
Np tak:

[PHP] pobierz, plaintext 
<?php
//wpisz informacje:
mysql_connect();
mysql_select_db();
 
//ładujemy odpowiedni rekord
$arrFileData = mysql_fetch_array(mysql_query(&#092;"select * from files where file_id='\".$_GET['file'].\"'\"));
 
//sprawdzamy czy plik istnieje
if(is_file($arrFileData['file_fullpath']))
{
	//updatujemy statystyki
	mysql_query(&#092;"update downloads set downloaded=downloaded+1 where file_id='\".$_GET['file'].\"';\");
 
	//wysyłamy mime
	header('Content-type: '.mime_content_type($arrFileData['file_fullpath']));
 
	//wysyłamy prośbę o zapisanie pliku na dysku
	header('Content-Disposition: attachment; filename=\"'.$arrFileData['file_name'].'\"');
 
	//wysyłamy zawartość pliku
	readfile($arrFileData['file_fullpath']);
}
else
{
	print 'Plik nie istnieje!';
}
?>
[PHP] pobierz, plaintext