Это вопрос оптимальной практики и реализации.Безопасное хранение и обслуживание пользовательских файлов с помощью PHP/MySQL
Вот сценарий/требования:
- Бэкэнд PHP, БД MySQL - Вход для пользователей установить сеанс, весь сайт на HTTPS - Пользователи могут загружать медицинские файлы (PNG/mp4/PDF. ..) на их счет. - Пользователь должен иметь возможность просматривать (встроить IMG или VIDEO на сайте) или загрузить его файлы. - Файлы не могут быть просмотрены пользователями, не являющимися владельцами, если они не разрешены (флаг установлен на БД). - Совместное использование файлов не может работать, если пользователь не является владельцем и имеет активный сеанс.
У меня загружена загрузка файлов через AJAX. Сейчас я генерирую случайный ключ и использую его как имя файла на сервере, чтобы избежать угадывания имени файла. Но следующая проблема заключается в том, что если у кого-то есть URL-адрес, они могут просматривать файлы.
Какие меры и практические шаги необходимо предпринять, чтобы снять это? Поскольку это медицинское, безопасность имеет первостепенное значение. Есть ли что-то, что я упустил или пропал без вести?
Благодаря