response()->download() 不能直接用于生产环境,因其仅做一次性输出,缺乏权限校验、路径遍历防护、中文文件名处理及断点续传支持;底层调用 readfile() 强制返回 200 OK 和完整 Content-Length,忽略 HTTP_RANGE,且对相对或用户可控路径无防护,易导致安全漏洞与下载失败。

response()->download() 为什么不能直接用于生产环境
它只做一次性输出,不校验权限、不防路径遍历、不处理中文名、也不支持断点续传——上线后大概率出问题。
-
response()->download()底层调用readfile(),强制返回200 OK和完整Content-Length,完全忽略$_SERVER['HTTP_RANGE'] - 传入相对路径(如
./uploads/a.pdf)会报错;传入用户可控路径(如../../etc/passwd)可能直接读取系统文件 -
basename($filename)对中文名截断或乱码,需提前用rawurlencode()处理 - 大文件下载时内存占用高,容易触发超时或
502 Bad Gateway
如何手动实现支持断点续传的下载逻辑
必须绕过 response()->download(),自己处理 Range 请求头、状态码和分块输出。
- 先用
is_file()和is_readable()校验文件存在且可读 - 用
filesize()获取总大小,再读取$_SERVER['HTTP_RANGE'],正则提取起始偏移:preg_match('/bytes=(d+)-(d+)?/', $range, $matches) - 若匹配成功,设
header('HTTP/1.1 206 Partial Content')、Content-Range、Accept-Ranges: bytes和对应Content-Length - 用
fopen($path, 'rb')打开文件,fseek($fp, $start)定位,循环fread($fp, 8192)+echo+flush()+ob_flush() - 若无
Range头,退化为完整下载:返回200 OK,设完整Content-Length和Content-Disposition
中文文件名与安全校验的关键细节
这两项不处理,前端看到的就是乱码或空文件,后端可能被拖走配置文件。
- 文件名必须用
rawurlencode()编码,再套进Content-Disposition的filename*=utf-8''...格式(RFC 5987),不能只靠basename() - 路径必须走白名单校验:先
realpath($path),再用strpos()确保结果以你允许的根目录开头(如/var/www/app/storage/) - 后缀必须白名单过滤,仅允许
['pdf', 'xlsx', 'zip', 'csv']等业务必需类型,拒绝.php、.log、.env - 权限检查不能只查文件是否存在,得查数据库确认该文件属于当前用户,比如
Db::name('files')->where(['id' => $file_id, 'user_id' => $this->userId])->find()
大文件下载要不要交给 Web 服务器
能交就交,别硬扛。PHP 处理百兆以上文件极易卡死或超时,而 Nginx/Apache 原生支持 Range 和高效流式传输。
立即学习“PHP免费学习笔记(深入)”;
- 把文件存到 Web 目录外(如
/data/uploads/),然后用X-Sendfile(Apache)或X-Accel-Redirect(Nginx)转发请求 - ThinkPHP 中只需设置响应头:
header('X-Accel-Redirect: /protected/' . basename($path)),Nginx 配置location /protected/ { internal; alias /data/uploads/; } - 这样 PHP 只做权限校验和跳转,不碰文件流,既安全又省资源
- 注意:启用此方式后,
Content-Disposition和Content-Type仍需由 PHP 设置,Nginx 不会自动继承
断点续传真正难的不是写几行 fseek(),而是所有边界条件都得对上:Range 解析是否覆盖 bytes=100-、bytes=-500、bytes=100-200/1000 这些格式;Content-Range 的数字是否严格匹配实际输出字节数;flush() 是否真生效(有些 SAPI 会缓冲)。这些地方一错,浏览器就静默失败,连错误提示都没有。
文章来自机圈观察员网,发布者:,转载请注明出处:https://www.jqgcy.com/shoujipingce/124139.html