cách an toàn nhất để Store đã tải tập tin

Question

tôi lưu trữ các tập tin được tải lên trong thư mục web:

//src/Acme/CocoBundle/Entity/CocoFromTheNorth.php 
/** 
* @ORM\Column(type="string", length=255, nullable=true) 
*/ 
public $path; 

protected function getUploadRootDir() 
{ 
    return __DIR__.'/../../../../web/'.$this->getUploadDir(); 
} 

protected function getUploadDir() 
{ 

    return 'uploads/documents'; 
} 

Đây có phải là một thực hành tốt? Nó sẽ không được tốt hơn để giữ các tập tin tải lên bên ngoài thư mục web để họ không thể được truy cập trực tiếp bởi người dùng?

Tôi có quyền nghĩ rằng cách tốt nhất để lưu trữ các tệp đã tải lên bên ngoài gốc web không? Nó sẽ là tốt nhất ở đâu? Hoặc làm cách nào tôi có thể định cấu hình máy chủ web để từ chối quyền truy cập vào thư mục tải lên?

Answer 1

Bạn nên giữ các tệp đã tải lên bên ngoài thư mục web và sử dụng X-SendFile để phân phối các tệp đó sau khi bạn thiết lập quyền truy cập bằng PHP.

tôi đã vạch ra một cái gì đó tương tự như ở đây: How to securely store files on a server

Và ở đây: Caching HTTP responses when they are dynamically created by PHP