aunque sea de varios meses,
un aporte para seguridad:
Se trata de filtrar los enlaces en 'descargar.php':
Código PHP:
$ruta = $_GET['ruta'];
$archivo_arr = explode( "/", $ruta );
$archivo = $archivo_arr[count($archivo_arr) - 1];
if( !file_exists( $ruta ) )
{
die( "No existe $ruta" );
}
if( substr($ruta, 0, 9)!='archivos/')
{
die( "Descarga no permitida" );
}
header( "Content-Disposition: attachment; filename=".$archivo."");
header( "Content-type: application/octet-stream" );
@readfile( $ruta );
con este ejemplo solo podriamos hacer descargas de archivos en la carpeta "archivos/"
ya que, al no incluir ese código, podriamos llamar desde el navegador por ejemplo algo tal que así:
Cita: www.pagina.com/descargar.php?ruta=index.php
y si tienes base de datos te cogen hasta los calzones por decir algo jejeje