Obligar descarga de un fichero sin importar su extensión

Cuando un navegador web visita un archivo que entiende, lo muestra. Por ejemplo, si encuentra un archivo con extensión .txt entonces lo sirve en lugar de mostrar el diálogo de descarga.

Pues hoy veremos cómo servir un archivo con PHP pero forzar su descarga sin importar la extensión. No importa si es un exe, html o txt, todo será forzado a descargarse.

Para esto usaremos la función readfile.

Este tutorial me recuerda al que muestra cómo proteger el acceso a imágenes con Apache y PHP.

Forzar descarga de archivo con PHP

Si tenemos un archivo de texto o una imagen, la mayoría de veces será visualizada en el navegador en lugar de forzar su descarga.

Tenemos un ejemplo de un archivo de código fuente de C (es del tutorial de Booleanos en C) que normalmente es servido como texto.

Para forzar su descarga únicamente agregamos encabezados HTTP que indican que se va a servir un adjunto de forma binaria, y luego leemos el archivo con readfile.

<?php
/**
 * Forzar la descarga de un archivo con
 * PHP. Ejemplo 1
 *
 * @author parzibyte
 */

# Pon su ruta absoluta, no importa qué tipo sea
$rutaArchivo = __DIR__ . "/booleanos_1.c";

# Obtener nombre sin ruta completa, únicamente para sugerirlo al guardar
$nombreArchivo = basename($rutaArchivo);

# Algunos encabezados que son justamente los que fuerzan la descarga
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombreArchivo");
# Leer el archivo y sacarlo al navegador
readfile($rutaArchivo);
# No recomiendo imprimir más cosas después de esto

Eso es lo único que necesitamos. Suponiendo que booleanos_1.c existe, será forzado a descargarse. Esto podríamos hacer con cualquier otro archivo.

Descargar archivo a través de PHP usando parámetro GET

Ten cuidado al implementar el siguiente código. Sirve para descargar cualquier archivo a partir de su nombre. No me canso de repetir que tengas cuidado si permites leer el nombre del archivo proporcionado por el usuario.

En fin, aquí el código:

<?php
/**
 * Forzar la descarga de un archivo con
 * PHP a partir del parámetro GET. Ejemplo 2
 *
 * @author parzibyte
 */

/*
-------------------------------------
- Grandiosa nota sobre la seguridad -
-------------------------------------

Este script es ilustrativo, puedes usarlo
en producción pero asegúrate de limitar
los archivos que se pueden leer. Por ejemplo,
haz un arreglo de los permitidos y luego usa
in_array, o comprueba antes qué fichero vas
a servir

Este script puede servir literalmente cualquier archivo
a través del dato que haya en $_GET["a"]. Si quieres puedes
quitar eso y tomar el nombre desde otro lugar (p. ej. la sesión
o una base de datos en la que confíes)

Un atacante podría ver todos los archivos, incluyendo el index.php
u otros que estén arriba o abajo (usando ../ o /) y podría llegar
incluso a la raíz del sistema

En resumen, lee los archivos a partir de un nombre en el que confíes
 */
if (empty($_GET["a"])) {
    exit("No proporcionaste ningún nombre de archivo");
}

$archivo = $_GET["a"];
if (!file_exists($archivo)) {
    exit("Archivo no existente");
}

$nombre = basename($archivo);
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombre");
readfile($nombre);

Como alternativa se me ocurre que podrías generar un id de archivo, guardarlo en una base de datos y enlazarlo a un archivo que exista en el disco duro.Luego puedes mandar ese id en la URL, leer el archivo al que está ligado y listo, descargarías un archivo sin permitir que el usuario sepa cuál es.

Conclusión

Espero que el código aquí expuesto te haya dado un panorama de cómo servir archivos con PHP, sin importar extensión o formato.

Por cierto, readfile funciona bien para archivos pequeños, pero cuando son archivos grandes te recomiendo servir el archivo por fragmentos de manera ligera.

Mira más sobre PHP aquí.