Какие меры безопасности следует применять для предотвращения загрузки моих документов?

Question

Я с проектом фотографа. Он получил много изображений, защищенных авторским правом, и хочет показать или просмотреть их на веб-сайте с водяным знаком поверх него. Он также хочет разрешить загрузку оригинального изображения хорошего качества без водяного знака этой фотографии пользователям, оплатившим эти конкретные изображения.

Я планирую следующее для предотвращения несанкционированной загрузки:
1.) размещение всех изображений без водяного знака в секретной папке и предотвращение доступа к его содержимому с помощью .htaccess
2.) чтобы показать изображение с водяным знаком, вызовите его с помощью файла preview.php [прочитайте файл из секретного файла, добавьте водяной знак и покажите его в браузере]
3.) чтобы разрешить загрузку без водяного знака, вызовите его с помощью download.php и внутри download.php, проверив учетные данные, и, если все в порядке с зарегистрированным пользователем, прочитайте оригинальный файл из секретного местоположения и выведите содержимое в браузер.

Есть ли какие-либо другие меры безопасности, которые мне следует предпринять?

Answer 1

Вместо добавления файла .htaccess, просто поместите папку за пределы корневого каталога вашего сайта. Кроме этого, звучит хорошо.

Answer 2

То, что вы здесь описываете, звучит нормально. Я бы, наверное, выложил фотографии полностью за пределы руткита, но это не должно иметь практического значения по сравнению с .htaccess.

Answer 3

Вы можете использовать метод, который часто называют «защитой от хотлинка», при котором вы блокируете запросы с помощью ссылок HTTP, которые не являются вашим собственным сайтом.mod_rewrite очень хорош для этого.Вот пример:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]