precisamente ayer estaba revisando la seguridad de un codigo que tengo para descargar archivos xD
tengo este form
<form action="descarga0.php" method="post">
<input type="hidden" name="id" value="<?=$res_dat['ar_id'];?>"> <!-- Aqui el id del archivo a descargar [...] , que en este ejemplo lo obtengo de una base de datos-->
<script>
function advertencia(){
alert('Se cerrara la ventana automaticamente en 5 segundos despues guardar o abrir el archivo.');
setTimeout('window.close()',10000);
}
</script>
<input type="image" src="images/descargar.gif" style="cursor:default" onClick="advertencia();"/>
</form>
Despues de tomar ese ID que envio del archivo anterior [...]
header("Content-type: application/octet-stream"); header("Content-Disposition: attachment; filename=\"$nombre\"\n"); }else{
echo "<script>window.close();alert('El archivo \\n".$nombre."\\n no se encontro en el servidor.');</script>";
}
lo importante es:
header("Content-type: application/octet-stream"); header("Content-Disposition: attachment; filename=\"$nombre\"\n");