php实现文件下载功能（支持中文）

问题说明

文件下载，一般有一种最为简单的方法，那就是将url直接指向服务器上文件的所在位置。可是这个方法存在很大的安全隐患。

1. 暴露了服务器文件目录结构

2. 没法禁止非法请求来源，没法对文件下载请求作安全验证

解决方案

1、将文件下载请求映射到后端程序url

借助http服务器（apache/nginx）实现映射功能

这里以apache为例进行说明
借助apache的rewrite模块，配置rewrite规则。（关于如何开启rewrite模块，网上不少资源，这里再也不赘诉）
在项目根目录下建立.htaccess文件，写入rewrite规则

RewriteEngine on
#将全部以rar/zip结尾的url，映射给download.php文件
RewriteRule (.*\.(rar|zip))$ download.php?file=$1 [NC]

将全部以rar/zip结尾的url，映射给download.php文件（这里为了方便直接映射到了一个php脚本中，若是是使用框架，那就映射到具体的控制器中的某个方法！例如：index.php?c=home&a=download）

2、编写具体的文件下载逻辑

项目目录

以本地项目为例，用户须要下载的zip文件，放在当前项目的temp目录下

示例

直接上代码，代码中有详细注释

<?php
//接收须要下载的文件名称
if(!isset($_GET['file'])) exit('Filename is empty');
if(empty($_GET['file'])) exit('Filename not valid');
ob_clean();//清除一下缓冲区
//得到文件名称
$filename = basename(urldecode($_GET['file']));
//文件完整路径（这里将真实的文件存放在temp目录下）
$filePath = __DIR__."/temp/".$filename;
//将utf8编码转换成gbk编码，不然，文件中文名称的文件没法打开
$filePath = iconv('UTF-8','gbk',$filePath);
//检查文件是否可读
if(!is_file($filePath) || !is_readable($filePath)) exit('Can not access file '.$filename);
/**
 * 这里应该加上安全验证之类的代码，例如：检测请求来源、验证UA标识等等
 */
//以只读方式打开文件，并强制使用二进制模式
$fileHandle=fopen($filePath,"rb");
if($fileHandle===false){
    exit("Can not open file: $filename");
}
//文件类型是二进制流。设置为utf8编码（支持中文文件名称）
header('Content-type:application/octet-stream; charset=utf-8');
header("Content-Transfer-Encoding: binary");
header("Accept-Ranges: bytes");
//文件大小
header("Content-Length: ".filesize($filePath));
//触发浏览器文件下载功能
header('Content-Disposition:attachment;filename="'.urlencode($filename).'"');
//循环读取文件内容，并输出
while(!feof($fileHandle)) {
    //从文件指针 handle 读取最多 length 个字节（每次输出10k）
    echo fread($fileHandle, 10240);
}
//关闭文件流
fclose($fileHandle);

这里只是作了一个示例（只包括核心功能），为了方便说明直接以GET方式从url中获取用户想要下载的文件名称

注意如下两行代码（为了可以下载中文名称的文件）

$filePath = iconv('UTF-8','gbk',$filePath);
header('Content-type:application/octet-stream; charset=utf-8');

若是用户须要下载的是中文名称的文件。则须要将文件路径转换成gbk编码，不然会出现 文件不存在 之类的错误。header中设置utf8编码，也是一样的道理

下载文件

打开浏览器，访问 http://127.0.0.1/rewrite/尴尬.zip 文件便开始下载了