php

Forzar la descarga de cualquier archivo con PHP y readfile

Obligar descarga de un fichero sin importar su extensión

Cuando un navegador web visita un archivo que entiende, lo muestra. Por ejemplo, si encuentra un archivo con extensión .txt entonces lo sirve en lugar de mostrar el diálogo de descarga.

Pues hoy veremos cómo servir un archivo con PHP pero forzar su descarga sin importar la extensión. No importa si es un exe, html o txt, todo será forzado a descargarse.

Forzar descarga de archivo con PHP y encabezados HTTP

Para esto usaremos la función readfile.

Este tutorial me recuerda al que muestra cómo proteger el acceso a imágenes con Apache y PHP.

Forzar descarga de archivo con PHP

Si tenemos un archivo de texto o una imagen, la mayoría de veces será visualizada en el navegador en lugar de forzar su descarga.

Tenemos un ejemplo de un archivo de código fuente de C (es del tutorial de Booleanos en C) que normalmente es servido como texto.

Para forzar su descarga únicamente agregamos encabezados HTTP que indican que se va a servir un adjunto de forma binaria, y luego leemos el archivo con readfile.

<?php
/**
 * Forzar la descarga de un archivo con
 * PHP. Ejemplo 1
 *
 * @author parzibyte
 */
# Pon su ruta absoluta, no importa qué tipo sea
$rutaArchivo = __DIR__ . "/booleanos_1.c";

# Obtener nombre sin ruta completa, únicamente para sugerirlo al guardar
$nombreArchivo = basename($rutaArchivo);

# Algunos encabezados que son justamente los que fuerzan la descarga
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombreArchivo");
# Leer el archivo y sacarlo al navegador
readfile($rutaArchivo);
# No recomiendo imprimir más cosas después de esto

Eso es lo único que necesitamos. Suponiendo que booleanos_1.c existe, será forzado a descargarse. Esto podríamos hacer con cualquier otro archivo.

Descargar archivo a través de PHP usando parámetro GET

Ten cuidado al implementar el siguiente código. Sirve para descargar cualquier archivo a partir de su nombre. No me canso de repetir que tengas cuidado si permites leer el nombre del archivo proporcionado por el usuario.

En fin, aquí el código:

<?php
/**
 * Forzar la descarga de un archivo con
 * PHP a partir del parámetro GET. Ejemplo 2
 *
 * @author parzibyte
 */
/*
-------------------------------------
- Grandiosa nota sobre la seguridad -
-------------------------------------

Este script es ilustrativo, puedes usarlo
en producción pero asegúrate de limitar
los archivos que se pueden leer. Por ejemplo,
haz un arreglo de los permitidos y luego usa
in_array, o comprueba antes qué fichero vas
a servir

Este script puede servir literalmente cualquier archivo
a través del dato que haya en $_GET["a"]. Si quieres puedes
quitar eso y tomar el nombre desde otro lugar (p. ej. la sesión
o una base de datos en la que confíes)

Un atacante podría ver todos los archivos, incluyendo el index.php
u otros que estén arriba o abajo (usando ../ o /) y podría llegar
incluso a la raíz del sistema

En resumen, lee los archivos a partir de un nombre en el que confíes
 */if (empty($_GET["a"])) {
    exit("No proporcionaste ningún nombre de archivo");
}

$archivo = $_GET["a"];
if (!file_exists($archivo)) {
    exit("Archivo no existente");
}

$nombre = basename($archivo);
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombre");
readfile($nombre);

Como alternativa se me ocurre que podrías generar un id de archivo, guardarlo en una base de datos y enlazarlo a un archivo que exista en el disco duro.Luego puedes mandar ese id en la URL, leer el archivo al que está ligado y listo, descargarías un archivo sin permitir que el usuario sepa cuál es.

Conclusión

Espero que el código aquí expuesto te haya dado un panorama de cómo servir archivos con PHP, sin importar extensión o formato.

Por cierto, readfile funciona bien para archivos pequeños, pero cuando son archivos grandes te recomiendo servir el archivo por fragmentos de manera ligera.

Mira más sobre PHP aquí.

Estoy aquí para ayudarte 🤝💻


Estoy aquí para ayudarte en todo lo que necesites. Si requieres alguna modificación en lo presentado en este post, deseas asistencia con tu tarea, proyecto o precisas desarrollar un software a medida, no dudes en contactarme. Estoy comprometido a brindarte el apoyo necesario para que logres tus objetivos. Mi correo es parzibyte(arroba)gmail.com, estoy como@parzibyte en Telegram o en mi página de contacto

No te pierdas ninguno de mis posts 🚀🔔

Suscríbete a mi canal de Telegram para recibir una notificación cuando escriba un nuevo tutorial de programación.
parzibyte

Programador freelancer listo para trabajar contigo. Aplicaciones web, móviles y de escritorio. PHP, Java, Go, Python, JavaScript, Kotlin y más :) https://parzibyte.me/blog/software-creado-por-parzibyte/

Ver comentarios

  • estoy usando el codigo para descargar archivos (el ultimo) y en modo local funciona perfectamente, pero cuando lo subo al servidor no descarga, pese a tener los datos bien cargados (no da error de archivo inexistente, ni de no proporcionaste datos....

Entradas recientes

Creador de credenciales web – Aplicación gratuita

Hoy te voy a presentar un creador de credenciales que acabo de programar y que…

3 días hace

Desplegar PWA creada con Vue 3, Vite y SQLite3 en Apache

Ya te enseñé cómo convertir una aplicación web de Vue 3 en una PWA. Al…

1 semana hace

Arquitectura para wasm con Go, Vue 3, Pinia y Vite

En este artículo voy a documentar la arquitectura que yo utilizo al trabajar con WebAssembly…

1 semana hace

Vue 3 y Vite: crear PWA (Progressive Web App)

En un artículo anterior te enseñé a crear un PWA. Al final, cualquier aplicación que…

1 semana hace

Errores de Comlink y algunas soluciones

Al usar Comlink para trabajar con los workers usando JavaScript me han aparecido algunos errores…

1 semana hace

Esperar promesa para inicializar Store de Pinia con Vue 3

En este artículo te voy a enseñar cómo usar un "top level await" esperando a…

1 semana hace

Esta web usa cookies.