ThinkPHP如何实现文件下载与断点续传功能【扩展】

response()->download() 不能直接用于生产环境,因其仅做一次性输出,缺乏权限校验、路径遍历防护、中文文件名处理及断点续传支持;底层调用 readfile() 强制返回 200 OK 和完整 Content-Length,忽略 HTTP_RANGE,且对相对或用户可控路径无防护,易导致安全漏洞与下载失败。

thinkphp如何实现文件下载与断点续传功能【扩展】

response()->download() 为什么不能直接用于生产环境

它只做一次性输出,不校验权限、不防路径遍历、不处理中文名、也不支持断点续传——上线后大概率出问题。

  • response()->download() 底层调用 readfile(),强制返回 200 OK 和完整 Content-Length,完全忽略 $_SERVER['HTTP_RANGE']
  • 传入相对路径(如 ./uploads/a.pdf)会报错;传入用户可控路径(如 ../../etc/passwd)可能直接读取系统文件
  • basename($filename) 对中文名截断或乱码,需提前用 rawurlencode() 处理
  • 大文件下载时内存占用高,容易触发超时或 502 Bad Gateway

如何手动实现支持断点续传的下载逻辑

必须绕过 response()->download(),自己处理 Range 请求头、状态码和分块输出。

  • 先用 is_file()is_readable() 校验文件存在且可读
  • filesize() 获取总大小,再读取 $_SERVER['HTTP_RANGE'],正则提取起始偏移:preg_match('/bytes=(d+)-(d+)?/', $range, $matches)
  • 若匹配成功,设 header('HTTP/1.1 206 Partial Content')Content-RangeAccept-Ranges: bytes 和对应 Content-Length
  • fopen($path, 'rb') 打开文件,fseek($fp, $start) 定位,循环 fread($fp, 8192) + echo + flush() + ob_flush()
  • 若无 Range 头,退化为完整下载:返回 200 OK,设完整 Content-LengthContent-Disposition

中文文件名与安全校验的关键细节

这两项不处理,前端看到的就是乱码或空文件,后端可能被拖走配置文件。

  • 文件名必须用 rawurlencode() 编码,再套进 Content-Dispositionfilename*=utf-8''... 格式(RFC 5987),不能只靠 basename()
  • 路径必须走白名单校验:先 realpath($path),再用 strpos() 确保结果以你允许的根目录开头(如 /var/www/app/storage/
  • 后缀必须白名单过滤,仅允许 ['pdf', 'xlsx', 'zip', 'csv'] 等业务必需类型,拒绝 .php.log.env
  • 权限检查不能只查文件是否存在,得查数据库确认该文件属于当前用户,比如 Db::name('files')->where(['id' => $file_id, 'user_id' => $this->userId])->find()

大文件下载要不要交给 Web 服务器

能交就交,别硬扛。PHP 处理百兆以上文件极易卡死或超时,而 Nginx/Apache 原生支持 Range 和高效流式传输。

立即学习“PHP免费学习笔记(深入)”;

  • 把文件存到 Web 目录外(如 /data/uploads/),然后用 X-Sendfile(Apache)或 X-Accel-Redirect(Nginx)转发请求
  • ThinkPHP 中只需设置响应头:header('X-Accel-Redirect: /protected/' . basename($path)),Nginx 配置 location /protected/ { internal; alias /data/uploads/; }
  • 这样 PHP 只做权限校验和跳转,不碰文件流,既安全又省资源
  • 注意:启用此方式后,Content-DispositionContent-Type 仍需由 PHP 设置,Nginx 不会自动继承

断点续传真正难的不是写几行 fseek(),而是所有边界条件都得对上:Range 解析是否覆盖 bytes=100-bytes=-500bytes=100-200/1000 这些格式;Content-Range 的数字是否严格匹配实际输出字节数;flush() 是否真生效(有些 SAPI 会缓冲)。这些地方一错,浏览器就静默失败,连错误提示都没有。

文章来自机圈观察员网,发布者:,转载请注明出处:https://www.jqgcy.com/shoujipingce/124139.html

如何利用ThinkPHP中间件实现请求频率限制【安全】
上一篇 2026-07-01 17:52
怎样在ThinkPHP中自定义全局异常处理类【进阶】
下一篇 2026-07-01 17:52

相关推荐