Добрый день.

Как сделать правильную отдачу файлов с сервера? При условии что файлы мы индексируем в MySQL табличке как id, path, size. Пользователям мы отдаем ссылки вида /file.php?get=<id>, id это автоинкремент в табличке. Вопросы:

1. В таком варианте есть возможность пользователем скачать все файлы, при помощи просто скрипта с перебором id. Этого допустить нельзя. Какие есть варианты?

У меня первое что пришло на ум генерить при добавлении уникальный идентификатор для файла, вроде GUID и хранить его в табличке, ссылка будет выглядеть как /file.php?get=<GUID>, таким образом мы избежим перебора. Как сгенерировать этот UID?

Кстати с content-type тоже гемор, указывать ручками нужно...

Может есть еще варианты как можно отдавать безопасно файлы средствами apache? Временные симлинки не предогать ибо ссылки на файлы могут быть разданы пользователем кому угодно.
Модератор:
Называйте топики более осознано.

Ага, сенкс. У меня тут нарисовался полный алгоритм, оцените плз.

1. У нас есть табличка files (id, hash, file_name, description)
2. Пользователь закачивает файл на сайт через форму
3. Скрипт, принимающий файл индексирует его, добавляя новую запись в табличку hash=md5(uniqid(rand())), копирует в папку вне /www пот именем id, т.е. имя файла будет выглядеть как 4512.
4. все ссылки на файлы на сайте будет типо /downloads.php?hash=34df34...
5. При попытке скачать скрипт создает директорию где-нить в /www с именем hash и в ней symlink('...4512 ', '...рельное имя файла'), и location на нее.
6. раз в сутки прибиваем устаревшние диры

Что мы получаем в итоге:
1. Защита от копирования всех файлов
2. постоянные урлы на файлы, которые можно раздавать, с mod_rewrite это может выглядеть как http://www.site.com/files/234dfd567ghbvbkl34jn3ggt5.doc(расширение для красоты и для понимания что это за файл)
3. удобное хранения файлов на сервере, все в одной дире с auto_increment именами (минус в этом тот что мы не узнаем кому пренадлежит файл пока не посмотри в базе на соответствубщий id)
4. Пользователь при загрузке получает файл, который называется так же как и на компьютере пользователя залившего его, а не "234dfd567ghbvbkl34jn3ggt5.doc". Для этого мы создаем диру в пункте 5

Правда с русскими названиями пока не ясно что будет :)

4m@t!c
Зачем? Почему нельзя отдавать файл через скрипт?


Потому что неохота колдовать над content-type, и также не охота колдовать над offset для download-managers.

4m@t!c
Чем doc красивее, чем .php или .eudo ?

Если пользователь добавил файл .doc то урл выглядит
http://www.site.com/files/234dfd567ghbvbkl34jn3ggt5.doc

Если пользователь добавил файл .pdf то урл выглядит
http://www.site.com/files/234dfd567ghbvbkl34jn3ggt5.pdf

а так, ничем не лучше.