PHP防盗链真的那么简单？揭秘如何让盗图者无处可逃

今天咱们来扯扯PHP那防盗链的东西。前阵子接了个小活儿，得弄个对付图片盗链的招儿。咱也知道，现在这资源被偷跟吃饭似的，尤其那些好看的图片。我就琢磨，得整一套防盗链，别让那些不花钱的白吃白拿我东西的人得逞。

防盗链这事其实挺简单，就是看看HTTP请求里头的Referer字段，判断这请求是不是从靠谱的域名来的。要是来的，那就放行；要是不靠谱，那就来个错误提示或者给张替代图。听起来挺轻松的，对？但真干起来，麻烦事可不少。

先来看看最基本的实现代码：

这货儿叫referer，就是从哪来访问这网站的，没这东西就默认是个空字符串。

这域名列表里就俩，一个example.com，另一个是它的兄弟www.example.com，俩货一起，绝配！

if (!empty($referer)) {

这货解析了个网址，$referer里的内容全给拆解了个遍。

这货儿，$parsed_url里的host没给，那就空着来呗，一个空字符串。

要是那域名没在允许列表里头，那可就别想了。

这HTTP/1.1的403禁令头儿，给整上了。

echo 'Access denied!';

exit;

}

// 正常输出图片

头儿来一句，咱们这网页得整成发图片的格式，就那种 JPEG 的。

兄弟，赶紧来这么一句：执行读取文件操作，路径是'path/to/your/image.jpg'！

?>

这段代码看起来没啥问题，但实际上有几个潜在的坑：

这东西HTTP_REFERER有时候是空的，有的浏览器或者那啥用户代理就不给面子，不送这个头信息，比如你直接从地址栏戳进去或者用书签翻墙的时候。

这parse_url函数，它有时候会玩失踪，直接给你个空荡荡的数组。你要是头铁，非得用个格式不对的Referer头，那它可能就跟你玩起了失踪游戏，$host直接给你来个空手套白狼。

这检查方法简单得都能绕过去，就像有人能冒充Referer头，或者通过代理服务器来搞鬼。

为了搞定这些麻烦，我打算给自己的防盗链系统来个升级。先来个白名单，让特定IP或用户代理能直接进来。再来个日志功能，把所有被拒的请求都记下来，方便以后研究。

这帮IP地址，就俩：一个192.168.1.1，另一个10.0.0.1，就这两个货，谁要是想进来，都得看它们脸色。

这货只认一个APP，名字叫MySpecialApp，版本是1.0，别的啥东西都不给过。

客户端IP地址，直接从服务器端获取，就是$_SERVER['REMOTE_ADDR']那货。

这货儿，浏览器信息没给，空字符串来凑数。

// 检查白名单

要是客户端IP在白名单里，或者用户代理也在白名单里，那就算了。

// 白名单用户直接放行

这头儿来一句：“咱们这得设置个头儿，告诉浏览器这东西是张图片，格式是JPEG。”

搞个读取文件的骚操作，'path/to/your/image.jpg'那破东西，赶紧给它来一招。

exit;

// 检查Referer

// 记录日志

记录下这货，今天个时间戳是年月日时分秒，告诉咱，有人想翻墙，IP地址是这东西，还带了个啥啥啥的来源地，不过，门儿都没开，给拒绝了。

搞个文件，往里头塞日志，直接续写不回头。

// 返回403错误

}

这东西看着挺美？可槽点来了。一试身手，我自己也给卡住了！原因是我疏忽了，没把自己开发环境的IP给列入白名单。没办法，只能手动给它加个VIP，这才把事给摆平了。

这回又摊上事了，有些家伙明明是合法用户，愣是被我给拦住了。一查才发现，原来是他们那破浏览器没给老子发个Referer头。这事让我悟出一个道理，光靠Referer检查那东西不靠谱。所以，我来了个狠的，弄了个临时访问令牌，往合法页面的链接里一塞，这下看谁还敢捣乱。

// 生成访问令牌

搞个生成令牌的小东西，给它个秘密和过期时间参数。

$data = time() . $secret;

return hash('sha256', $data);

// 验证访问令牌

这东西，得用那秘密加上过期时间，给它生个新身份。

这东西得检查一下，看看预想的那个token和实际收到的token是不是长得一毛一样，对？咱这就来比对比对。

$secret = 'your_secret_key';

$expires = 3600; // 1小时有效期

// 检查令牌

这东西，咱从GET里头捞，没得就空空如也，空荡荡的。

要是验证这个token、密钥还有过期时间不通过？

这HTTP/1.1 403 Forbidden的头儿给禁了，懂不？

这东西不对劲，过期了还是假的，瞧瞧这提示，真是让人心里一紧。

这方案看着挺保险，可操作起来是真费劲。得每次都算个密码，再把它加到网址里头。虽然挺闹心的，但安全系数是蹭蹭往上涨。

小秘密来啦：要是你不想让别人直接看原图，但又不想彻底封杀，那你就来个替换术，放张小纸条图，比如“别偷用哦”那种。这样既不坏人家心情，还能提个醒儿。

// 返回替代图片

头儿来一句，咱们这儿的东西得这么整，告诉浏览器咱们这货是张 JPEG 图。

这东西得这么搞：'readfile'，然后跟上'path/to/your/placeholder.jpg'这串字符，懂不？

行，咱们就聊到这儿。希望我这点小经验能给你点启发。要是你有啥高招防盗链，评论区见。话说这防盗链，就像猫捉老鼠，总得提防着点，别让小偷有机可乘！