php :: ファイルを強制的にダウンロードさせる
2007/6/6 (Wed) at 9:56 pm
追記。2010年5月26日。ディレクトリトラバーサルできちゃうのではないかというご指摘を頂きました。詳しくは下のコメントに!追記以上。
画像ファイル、mp3、pdf、ワード書類といった様々な拡張子のファイルをダウンロードさせたいときがあります。ブラウザで開くんじゃなくて、ダウンロードさせたいという。.htaccess に以下のように記述しとけばよいという話も出ますが、
AddType application/octet-stream .lzh .zip .mp3
残念ながらこの手はだめっぽい。IEが華麗にスルーしてくれます。php、perl等でcontent type headerを出力したほうがベター。ってわけでここにサンプルスクリプトがありました。Thank you!↓
これをやっとけば、ユーザーがpdfファイルをクリックしたときの、あの地獄の間を与えなくてよいという至福のユーザビリティが実現できますね。あれ、殺意を覚えますもん。世の中のすべてのpdfへのリンクがこれになっていたらば世界の犯罪は減ることでしょう。ラブ&ピース。
『php』カテゴリのエントリ
- php :: 正規表現 :: 名前つきキャプチャというのを習った
- php :: ページ送りするやつ(pager)のクラスをつくった
- php + GD :: jpg画像を半透明DVDパッケージのpng画像に合成する
- php :: html文字列を決まった文字数で分割する関数
- php :: 10進数と16進数の数値文字参照が混在する文字列を10進数のみに統一する
- オライリーの『プログラミングPHP』を買ってカレンダーをもらった
- php :: Javascriptのタグでphpを呼び出す方法
- php :: 2配列を合体 :: 連続する文字列の○番目にキャプションを入れる関数
- php :: ユニークな連番ファイル名を得るための関数
- php :: ソート用の配列を用いた多次元配列のソート
コメント・プリーズ!
PROFILE
藤居ヒロヤ。ウェブデザイナー/ウェブディレクター。ウェブデザインオフィス、3OT NET主宰。名古屋市中区。「優しいデザイン」「激しいデザイン」「正しいデザイン」「セクシーなデザイン」「泣けるデザイン」「もっともなデザイン」... 。あなただけのウェブデザインを丹精込めておつくり致します。見積り依頼等、お気軽にお問い合わせ下さい。
- www. http://www.3ot.net/
- email. admin [atmark] 3ot.net
- phone. 052 323 7376
RECENT ENTRIES
- トウモロコシがおいしい
- ダイコクドラッグが近所にできた
- ライブドアのBLOGOSをよく読みます
- jQuery :: 画像のリロード
- タムの絵
- Javascript :: ecl.jsにながらくお世話になりました
- サーバ移転&ブログのデザインをすこし変えました
- php :: 正規表現 :: 名前つきキャプチャというのを習った
- jQuery :: ネストしたリスト + ui.sortable.js
- jQuery :: event delegationてナニ?
RECENT COMMENTS
- トウモロコシがおいしい [4]
- ふ (07/09)
- いら (07/03)
- ふ (07/03)
- いら (07/03)
- php :: ファイルを強制的にダウンロードさせる [9]
- ふ (05/26)
- ふ (05/26)
- ふ (05/26)
- esperia (05/26)
- esperia (05/26)
- ふ (05/25)
- esperia (05/25)
- ふ (04/14)
- とほりすがり (04/13)
- タムの絵 [2]
- ふ (12/05)
- いら (12/04)
TOOLS
- s-box.js
- Link2WikipediaEncoder
- QR_CodeGenerator
- PagerankChecker
- IntrocucePhpCodeOnBlog
- FaviconGenerator
- Whois
- SiteThumbnailGenerator (Beta)
- EmailAddressEncoder (Legacy!)
BOOKMARKS
RESOURCES
- 99designs
- COMPUTER ARTS
- CPAN
- PHP標準関数逆引き辞典
- SMASHING MAGAZINE
- UNIXコマンド
- ajaxload.info
- deviantART
- deviantART :: PS Brushes
- deviantART :: PS Shapes
- fotosearch.com
- hotscripts.com
- hotscripts.com :: php
- iconlet.com
- jQuery Reference
- php.net :: 関数レファレンス
- psbrushes.net
- turnkeyforms.com
ARCHIVE
- 2010年7月 (1)
- 2010年1月 (1)
- 2009年12月 (2)
- 2009年11月 (3)
- 2009年10月 (1)
- 2009年9月 (9)
- 2009年8月 (7)
- 2009年6月 (7)
- 2009年5月 (1)
- 2009年4月 (8)
- 2009年3月 (1)
- 2009年1月 (1)
- 2008年12月 (3)
- 2008年11月 (1)
- 2008年4月 (1)
- 2008年1月 (3)
- 2007年12月 (1)
- 2007年10月 (3)
- 2007年9月 (5)
- 2007年8月 (4)
- 2007年7月 (13)
- 2007年6月 (22)
- 2007年5月 (30)
- 2007年4月 (15)
- 2007年3月 (12)
- 2007年2月 (7)
- 2007年1月 (16)
- 2006年12月 (23)
- 2006年11月 (9)
- 2006年10月 (3)
- 2006年9月 (2)
- 2006年8月 (6)
- 2006年7月 (4)
- 2006年6月 (6)
- 2006年5月 (10)
- 2006年3月 (17)
- 2006年2月 (8)
- すべての投稿 (266)
まさにこれを探してました!
すっげーありがとうございます!!
どうもです。この記事を書いたのはずいぶん前ですが、私もリンク先のスクリプトを昨年の暮れに使ってオッケーだったです。が、もしなにか不具合などがあったら教えてください。
このスクリプト、ディレクトリトラバーサルできるので非常にまずい気がします。さらに、同じ又は別の階層にphpファイル置いてると、そのphpのソースが丸見えです。
?file=index.php
最低でも、20行目付近のswitch文でダウンロードできるファイルの種類を絞って、default文の行を
default: exit();
にしておいたほうがいいと思います。
esperiaさん、
あ、そうですね、たしかに。phpファイル名自身を渡すってのは思いつきませんでした。ありがとうございます。
実際にこれを使うときには、phpファイルとダウンロードディレクトリは別の場所であるとして使うときが多いと思うのですが(私はいつもそのようにしています)、その場合、クエリ文字列にへんなもんが含まれていないかチェックする、とか、file_exists()の前にrealpath()を使うとか、というような処理を通せばいいのかなと思ったのですが、それでもまだまずい点がありますでしょうか。
問題は「../」が使えてしまうことで、サーバ内の拡張子付きファイルすべてがダウンロードの対象になってしまっていることなので、realpath()ではダメです。
決められた拡張子のものしかダウンロードしないようにしておくのが一番有効だと思います。(?file=./で、自身のソースは読まれてしまいますが。。)
あと、「../」「./」が含まれている場合は、全て無効なクエリとして処理する方法もあります。force-download.phpをドキュメントルート直下で動かすようにしておくと、システム内部のデータなどは読まれなくなります。
if(preg_match("/(../)/", $filename)) exit;
すみません、¥マークが取り除かれてますね…。半角で
if(preg_match("/(¥.¥.¥/)/", $filename)) exit;
です。
ご親切に教えてくださりありがとうございました!
あ、enマークがそうなっちゃうのか。重ね重ねすません!
ちょとテスト。
\
コメント部分にenマークが入っていると取り除かれるという点にいま気づきました。コメントした直後はオッケーなんだけど、リロードすると変わってしまうなあ。失礼。あとで直します。