登录与权限
后台基于 session 鉴权,密码仅保存哈希,配套 CSRF 防护。
- 首次强制初始化:根目录、密钥、密码必填
- 默认密码不可继续使用,强制重置
- 未完成初始化时禁用敏感操作
功能矩阵(每项均可独立扩展)
覆盖从登录管理、分享下载、到安全与更新的完整链路。
文件管理
上传、重命名、移动、删除均有安全校验与日志记录。
- 支持拖拽/选择上传(遵循 PHP 上传限制)
- 同名覆盖先移入回收站
- 文件夹删除仅允许空目录
回收站机制
防误删、可恢复、支持自动清理。
- 删除/覆盖的文件进入 recycle_bin
- 可恢复、永久删除、一键清空
- 支持保留天数自动清理
分享链接体系
文件与文件夹均可分享,支持标题、简介、有效期、密码。
- 分享短码:share.php?c=xxxx
- 文件夹分享展示文件列表
- 访问与下载统计分离记录
直连下载
仅文件支持直连,统一走签名校验入口。
- 入口:share_download.php?c=xxxx
- 支持有效期与下载统计
- 短时 token 校验可临时生成
开放 API
对外提供 JSON 元信息接口,支持密码验证。
- API:api.php?c=短码
- 字段:title/desc/size/updated_at
- 若分享有密码需追加 p 参数
安全策略
强制根目录隔离,token 签名防篡改,路径校验防穿透。
- download_secret HMAC-SHA256 签名
- 路径规范化与目录访问限制
- 建议根目录放站点外
日志系统
记录登录、分享、上传、删除等关键操作。
- 支持分页查看/导出/清空
- 便于溯源与安全审计
在线更新
支持 manifest 驱动的一键更新与版本校验。
- 下载 Release zip + SHA256 校验
- 解压备份并覆盖程序文件
- 支持自建更新源
源码结构与入口说明
单文件后台 + 多入口公开服务,结构清晰,易二次开发。
核心入口
index.php
登录页 + 首次初始化 + 设置页逻辑
app.php
后台主页面入口(定义 APP_ENTRY)
公开分享链路
share.php
分享页(文件/文件夹展示、密码验证)
share_download.php
下载入口(签名校验 + 统计)
api.php
JSON 元信息 API 输出
配置与数据
config.php
基础配置(被 settings.json 覆盖)
settings.json
初始化配置,含加密字段
share_links.json
分享短码/统计存储
recycle_bin/
回收站目录
核心函数库
functions.php 内包含目录扫描、安全校验、token 签名、统计、设置加密等核心能力。
安全校验
分享 Token
路径检查
统计记录
安全设计与流程说明
从目录隔离到签名验真,围绕“不可绕过”而设计。
核心安全策略
- 强制初始化:root_dir / 密钥 / 密码不可缺
- 分享与下载统一走签名校验
- 路径规范化防目录遍历
- 建议 root_dir 放站点目录外
- 安全响应头(nosniff 等)
分享链路流程
- 后台生成分享短码并写入 share_links.json
- 公开访问 share.php 校验密码与有效期
- 下载统一跳转 share_download.php
- 验签通过才输出文件流并统计
部署要求与使用说明
轻量部署,不依赖数据库,适合内网或私有化交付。
运行环境
- PHP 7.4+(8.x 可用)
- 扩展:openssl、session、建议 fileinfo
- 更新功能需 ZipArchive
首次初始化
- 配置 root_dir(建议站点外)
- 设置 download_secret(32 位以上)
- 修改默认密码(不能用 123456)
适用场景
- 私有文件分发
- 售后资料下载
- 内部素材管理
- 网盘式交付
建议补充的图片素材
提供这些图片可以进一步提升展示效果(我可帮你加进去)。
后台界面截图
上传/列表/分享弹窗/回收站等关键页面截图。
架构流程图
“分享 → 验签 → 下载 → 统计”的流程图示。
部署拓扑图
站点目录与 root_dir 隔离示意图。
品牌 LOGO
用于导航与页脚的品牌标识。