Cuando un navegador web visita un archivo que entiende, lo muestra. Por ejemplo, si encuentra un archivo con extensión .txt entonces lo sirve en lugar de mostrar el diálogo de descarga.
Pues hoy veremos cómo servir un archivo con PHP pero forzar su descarga sin importar la extensión. No importa si es un exe, html o txt, todo será forzado a descargarse.
Para esto usaremos la función readfile
.
Este tutorial me recuerda al que muestra cómo proteger el acceso a imágenes con Apache y PHP.
Si tenemos un archivo de texto o una imagen, la mayoría de veces será visualizada en el navegador en lugar de forzar su descarga.
Tenemos un ejemplo de un archivo de código fuente de C (es del tutorial de Booleanos en C) que normalmente es servido como texto.
Para forzar su descarga únicamente agregamos encabezados HTTP que indican que se va a servir un adjunto de forma binaria, y luego leemos el archivo con readfile.
<?php
/**
* Forzar la descarga de un archivo con
* PHP. Ejemplo 1
*
* @author parzibyte
*/
# Pon su ruta absoluta, no importa qué tipo sea
$rutaArchivo = __DIR__ . "/booleanos_1.c";
# Obtener nombre sin ruta completa, únicamente para sugerirlo al guardar
$nombreArchivo = basename($rutaArchivo);
# Algunos encabezados que son justamente los que fuerzan la descarga
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombreArchivo");
# Leer el archivo y sacarlo al navegador
readfile($rutaArchivo);
# No recomiendo imprimir más cosas después de esto
Eso es lo único que necesitamos. Suponiendo que booleanos_1.c existe, será forzado a descargarse. Esto podríamos hacer con cualquier otro archivo.
Ten cuidado al implementar el siguiente código. Sirve para descargar cualquier archivo a partir de su nombre. No me canso de repetir que tengas cuidado si permites leer el nombre del archivo proporcionado por el usuario.
En fin, aquí el código:
<?php
/**
* Forzar la descarga de un archivo con
* PHP a partir del parámetro GET. Ejemplo 2
*
* @author parzibyte
*/
/*
-------------------------------------
- Grandiosa nota sobre la seguridad -
-------------------------------------
Este script es ilustrativo, puedes usarlo
en producción pero asegúrate de limitar
los archivos que se pueden leer. Por ejemplo,
haz un arreglo de los permitidos y luego usa
in_array, o comprueba antes qué fichero vas
a servir
Este script puede servir literalmente cualquier archivo
a través del dato que haya en $_GET["a"]. Si quieres puedes
quitar eso y tomar el nombre desde otro lugar (p. ej. la sesión
o una base de datos en la que confíes)
Un atacante podría ver todos los archivos, incluyendo el index.php
u otros que estén arriba o abajo (usando ../ o /) y podría llegar
incluso a la raíz del sistema
En resumen, lee los archivos a partir de un nombre en el que confíes
*/if (empty($_GET["a"])) {
exit("No proporcionaste ningún nombre de archivo");
}
$archivo = $_GET["a"];
if (!file_exists($archivo)) {
exit("Archivo no existente");
}
$nombre = basename($archivo);
header('Content-Type: application/octet-stream');
header("Content-Transfer-Encoding: Binary");
header("Content-disposition: attachment; filename=$nombre");
readfile($nombre);
Como alternativa se me ocurre que podrías generar un id de archivo, guardarlo en una base de datos y enlazarlo a un archivo que exista en el disco duro.Luego puedes mandar ese id en la URL, leer el archivo al que está ligado y listo, descargarías un archivo sin permitir que el usuario sepa cuál es.
Espero que el código aquí expuesto te haya dado un panorama de cómo servir archivos con PHP, sin importar extensión o formato.
Por cierto, readfile funciona bien para archivos pequeños, pero cuando son archivos grandes te recomiendo servir el archivo por fragmentos de manera ligera.
Mira más sobre PHP aquí.
Hoy te voy a presentar un creador de credenciales que acabo de programar y que…
Ya te enseñé cómo convertir una aplicación web de Vue 3 en una PWA. Al…
En este artículo voy a documentar la arquitectura que yo utilizo al trabajar con WebAssembly…
En un artículo anterior te enseñé a crear un PWA. Al final, cualquier aplicación que…
Al usar Comlink para trabajar con los workers usando JavaScript me han aparecido algunos errores…
En este artículo te voy a enseñar cómo usar un "top level await" esperando a…
Esta web usa cookies.
Ver comentarios
estoy usando el codigo para descargar archivos (el ultimo) y en modo local funciona perfectamente, pero cuando lo subo al servidor no descarga, pese a tener los datos bien cargados (no da error de archivo inexistente, ni de no proporcionaste datos....