Modifica script forzatura download

[desio]

In un sito per forzare il download di alcuni file .PDF ho inserito questo semplice script :

<?

$number = $_GET['id'];

if ( $number == 1 ) {

$percorso = 'pdf/stampaalleghesi.pdf';

header("Cache-Control: public");
header("Content-Description: File Transfer");
header("Content-Disposition: attachment; filename= " . $percorso);
header("Content-Transfer-Encoding: binary");

readfile($percorso);
}
?>

la cui stringa di richiamo è questa:

<a href='download.php?id=19'>

Un amico mi ha fatto notare che sarebbe più sicuro vietare il download di qualunque altro tipo di file inserendo una stringa nello script ma non mi sa dire quale.Avete un idea?grazie

[brodik]

codice:

<a href='download.php?id=19&n=bcdbe05e03027e1f6d2e8ee74866bedb'>

dove n è l'md5 del percorso del file...

poi:

Codice PHP:

<?php

$number = $_GET['id'];
$nome = $_GET['n'];
$percorso = 'pdf/stampaalleghesi.pdf';

if ( $number == 1 && $nome == md5($percorso) ) {

header("Cache-Control: public");
header("Content-Description: File Transfer");
header("Content-Disposition: attachment; filename= " . $percorso);
header("Content-Transfer-Encoding: binary");

readfile($percorso);
}
?>

[oly1982]

ok... ma tutto ciò a che scopo?

[desio]

LO scopo è di evitare che venga potenzialmente scaricato l'intero sito.

[oly1982]

Originariamente inviato da desio
LO scopo è di evitare che venga potenzialmente scaricato l'intero sito.

per nulla... dato che il file è definito staticamente all'interno dello script

[Dascos]

Esatto Oly.
Non ha senso fare alcun controllo oltre all'id, dato che pare che il file da scaricare sia dichiarato staticamente

[desio]

Bene,allora se è gia a posto cosi...lavoro risparmiato!!!.