Web Security (PHP) - È sicuro eseguire il download di file e presentare le intestazioni all'utente finale?

-2

Ho una domanda di sicurezza che non sono sicuro se questo approccio è un modo sicuro per scaricare un file e presentarlo a un utente web?

Abbiamo i file di fatturazione dei clienti memorizzati in una posizione del server (posizione pubblicamente inaccessibile), quindi li leggiamo tramite il codice PHP in un file (in una posizione accessibile pubblica) come di seguito,

Mi chiedo solo, se questo modo di

  1. presentare file per l'utente finale è abbastanza sicuro?
  2. che l'utente finale non avrà alcuna conoscenza, di dove i file sono memorizzati nel server?
  3. qualche altra raccomandazione su come gestire una situazione simile?

    $i = $invoice->get();
    $filename = sprintf(INV_PDF_FILENAME,$i['customerid'],date('Ymd',$i['dateIssued']));
    $x = sprintf('/tmp/invoices/%s',$filename);
    header('Content-type: application/pdf');
    header('Content-Disposition: attachment; filename="'.$filename.'"');
    header('Expires: 0');
    header('Pragma: cache');
    header('Cache-Control: private');
    readfile($x);
    
posta user1179459 08.10.2018 - 02:45
fonte

1 risposta

0

Tutto ciò che l'utente finale vedrà è che è un PDF e il nome del file. Supponendo che stai anche facendo del lavoro per garantire che l'utente corrente possa scaricare il PDF, questo va bene. Se mai, sarei più interessato a quali informazioni sono memorizzate nel PDF stesso.

    
risposta data 12.10.2018 - 22:54
fonte

Leggi altre domande sui tag