Кратко — два пути: 1) взять готовый PHP-файловый менеджер/скрипт и настроить его, либо 2) реализовать свою простую логику (авторизация → загрузка → создание папок → скачивание). Ниже — список популярных готовых решений и пошаговая инструкция + минимальные примерные фрагменты кода и рекомендации по безопасности.
1) Готовые PHP-решения (open‑source и коммерческие)
- elFinder — популярный файловый менеджер с GUI (поддержка загрузки, папок, прав доступа, интеграция с CMS).
- FileRun — готовый web‑файловый менеджер (коммерч/условно-бесплатно).
- Pydio (ранее AjaXplorer) — корпоративный файловый обмен/менеджер.
- Nextcloud / ownCloud — полноценные файлохранилища (часто на PHP).
- CKFinder — коммерческий файловый менеджер для интеграции с редакторами.
- RichFilemanager — лёгкий менеджер, альтернатива elFinder.
- Laravel-пакеты: unisharp/laravel-filemanager, spatie/laravel-medialibrary (хранение и привязка медиа).
- Flysystem (The PHP League) — абстракция хранения (локально/S3 и т.д.) + библиотека для работы с файлами.
Если нужна простая файловая загрузка и скачивание — достаточно лёгкого скрипта; если нужна работа «как Dropbox» — берите Nextcloud/elFinder.
2) Основные компоненты реализации
- Авторизация: регистрация пользователей, хэширование паролей (password_hash/password_verify), сессии или токены.
- Хранение метаданных: таблица в БД (пользователь, оригинальное имя, хранимое имя, путь, размер, MIME, дата).
- Файловая система: хранить файлы вне webroot (без прямого доступа) или в защищённой папке; возможно структура /uploads/{user_id}/{folder}/.
- Загрузка: HTML-форма multipart/form-data + обработка move_uploaded_file, валидация типа/размера, создание папок (mkdir).
- Скачивание: проверка прав доступа → отдать файл через PHP (readfile) или через веб-сервер (X-Sendfile / X-Accel-Redirect) для эффективности.
- Безопасность: проверка MIME/встроенного содержимого, запрет исполнения, защита от path traversal, CSRF, ограничения размера, антивирус-сканирование (ClamAV), HTTPS.
3) Минимальная схема авторизации (очень кратко)
- Хранить пароли с password_hash(..., PASSWORD_DEFAULT).
- При логине: password_verify.
- Использовать сессии:
session_start();
$_SESSION['user_id'] = $userId;
4) Пример: загрузка с созданием папки (упрощённый)
(пояснения в комментариях)
PHP: обработчик загрузки upload.php
<?php
session_start();
if (!isset($_SESSION['user_id'])) {
http_response_code(403);
exit('Доступ запрещён');
}
$baseDir = __DIR__ . '/uploads'; // вне webroot предпочтительнее
$userId = intval($_SESSION['user_id']);
// Название папки из формы (например folder = "projects/2026")
$folder = isset($_POST['folder']) ? $_POST['folder'] : '';
// Простейшая очистка: разрешаем буквы, цифры, -, _, /
$folder = trim($folder, "/");
$folder = preg_replace('#[^a-zA-Z0-9_\-/]#', '', $folder);
$targetDir = $baseDir . "/user_{$userId}";
if ($folder !== '') {
$targetDir .= '/' . $folder;
}
// Защита: realpath и проверка что путь внутри $baseDir
if (!is_dir($targetDir)) {
// recursive = true
if (!mkdir($targetDir, 0755, true) && !is_dir($targetDir)) {
http_response_code(500);
exit('Не удалось создать папку');
}
}
if (!isset($_FILES['file'])) {
http_response_code(400);
exit('Нет файла');
}
$file = $_FILES['file'];
if ($file['error'] !== UPLOAD_ERR_OK) {
http_response_code(400);
exit('Ошибка загрузки: ' . $file['error']);
}
// Валидация размера и MIME
$maxBytes = 50 * 1024 * 1024; // 50MB
if ($file['size'] > $maxBytes) {
http_response_code(400);
exit('Файл слишком большой');
}
$finfo = new finfo(FILEINFO_MIME_TYPE);
$mime = $finfo->file($file['tmp_name']);
// при необходимости - проверять $mime в белом списке
// Генерация уникального имени на сервере, сохраняем оригинал в БД
$ext = pathinfo($file['name'], PATHINFO_EXTENSION);
$storedName = bin2hex(random_bytes(16)) . ($ext ? ('.' . $ext) : '');
$destination = $targetDir . '/' . $storedName;
if (!move_uploaded_file($file['tmp_name'], $destination)) {
http_response_code(500);
exit('Не удалось сохранить файл');
}
// Здесь вставка метаданных в БД (PDO) — user_id, original_name, stored_name, path, size, mime, created_at
// Пример пропущен
echo "OK";
5) Пример: скачивание файла (download.php)
<?php
session_start();
if (!isset($_SESSION['user_id'])) {
http_response_code(403);
exit('Нужна авторизация');
}
$userId = intval($_SESSION['user_id']);
// id файла в GET (например ?id=123) — лучше безопасно через число
$id = isset($_GET['id']) ? intval($_GET['id']) : 0;
if ($id <= 0) {
http_response_code(400);
exit('Неверный ID');
}
// Получаем из БД путь/имя файла и проверяем владельца/права
// $row = SELECT * FROM files WHERE id = :id
// проверяем что $row['user_id'] == $userId или есть доступ
$filepath = '/path/to/uploads/...'; // полный путь к файлу на диске
$originalName = 'example.pdf';
$mime = 'application/pdf';
$filesize = filesize($filepath);
// Отдаём через веб‑сервер (рекомендуется для больших файлов) или через PHP:
header('Content-Description: File Transfer');
header('Content-Type: ' . $mime);
header('Content-Disposition: attachment; filename="'.basename($originalName).'"');
header('Content-Length: ' . $filesize);
header('Pragma: public');
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
readfile($filepath);
exit;
Альтернатива: использовать X-Sendfile (Apache) или X-Accel-Redirect (Nginx) — гораздо эффективнее для больших файлов:
- Apache: header('X-Sendfile: ' . $filepath);
- Nginx: header('X-Accel-Redirect: /protected_internal_path/...');
6) Важные меры безопасности
- Храните вне webroot или запретите исполнение (например .htaccess: phoenix deny from all).
- Защита от path traversal: никогда не конкатенируйте необработанные имена папок без проверки; используйте basename() и realpath(), проверяйте, что результат начинается с базовой директории.
- Ограничение типов файлов и проверка MIME с finfo + проверка содержимого (например, если запрещаете скрипты — не сохраняйте .php).
- Генерируйте уникальные хранимые имена, оставляйте оригинальные в БД.
- Ограничение размеров и квот по пользователям.
- CSRF токены для форм загрузки.
- Проверка прав доступа при скачивании.
- Логи загрузок/скачиваний и механизмы удаления/архивации.
- HTTPS всегда для передачи файлов.
- При необходимости интеграция антивируса (ClamAV).
7) Дополнительно
- Для drag&drop/мультизагрузки используйте Dropzone.js, FineUploader или plupload + backend на PHP.
- Для интеграции со сторонним хранением (S3) используйте Flysystem или SDK.
- Если нужна сложная логика прав и UI — берите готовые решения (Nextcloud/elFinder) и настраивайте их.
Если хотите, могу:
- подобрать конкретный готовый скрипт под ваши требования (платный/бесплатный, с GUI или только API);
- написать пример на Laravel/Lumen с аутентификацией, загрузкой, хранением в DB и скачиванием;
- прислать полный пример кода с таблицами БД (SQL), если скажете, какие функции нужны (версии PHP, размер файлов, единичный пользователь/мультипользователь и т. п.).