PHP轻量级文件展示下载管理系统

这是一个“即插即用”的 PHP 单文件资源管理器：上传即可浏览、下载当前站点目录下的所有文件与子目录，自带密码登录、路径防越界、人性化体积显示与一键退出，体积不到 5 KB，无数据库、零依赖、开箱即飞。

【核心特性】

1. 单文件部署 – 把 index.php 丢到任意目录即可工作，无需数据库、扩展或 Composer。
2. 密码保护 – 首次访问弹出登录页，密码在顶部 PASSWORD 常量中自行修改；session 保存，浏览器关闭前免二次验证。
3. 安全锁 – realpath   str_starts_with 双重校验，杜绝 ../../../ 越界，安心开启，不怕窥探上级目录。
4. 实时下载 – 点文件 = 强制下载，自动补全 MIME，大文件也支持流式输出，不占 PHP 内存。
5. 友好体积 – 文件大小自动换算为 B/KB/MB/GB，保留两位小数，目录显示 dir，一目了然。
6. 返回上级 – 自动识别所在深度，非根目录时显示“⬅ 返回上级”，快速跳转。
7. 一键退出 – 右上角“退出”链接销毁 session，立即重新要求密码，公共服务器也能放心交接。

【使用方法】

1. 把代码保存为 index.php 并上传到目标目录（或网站根目录）。
2. 浏览器访问对应 URL，输入默认密码 123456（建议第一时间改掉）。
3. 界面支持深色浅色浏览器自动适配，全端可用；想集成到现有项目只需 include 'index.php'; 即可。

【定制提示】

• 改密码：编辑顶部 const PASSWORD = '你的新密码';
• 改初始目录：把 const ROOT_DIR = __DIR__; 换成任意绝对路径，如 /var/www/files/。
• 调整刷新：文件列表实时读取，无需手动清缓存；如需缓存可在 scandir 处加 usort 或 array_filter 二次处理。

【安全须知】
生产环境务必：
① 更换强密码； ② 把文件放至独立子域或目录，限制 open_basedir； ③ 开启 HTTPS 防中间人。

有了它，再也不用为“临时传个文件、给客户看目录”而装臃肿的 FTP 或网盘程序——一个文件，搞定一切。

1. 安全设计

	
	

		
		

			php
		

		

			
			

				复制
			

		

	

	

		// 路径安全验证 $base = realpath(ROOT_DIR); $path = realpath($base . '/' . ($_GET['p'] ?? '')); if ($path === false || !str_starts_with($path, $base)) {  $path = $base; }
	

• 目录遍历防护：通过realpath()和str_starts_with()严格限制访问范围
• XSS防护：使用htmlspecialchars()对所有输出内容进行编码
• 会话管理：基于PHP Session实现登录状态管理

2. 性能优化

• 原生PHP实现：无需任何框架依赖，资源占用极低
• 智能缓存：使用realpath()获取绝对路径，减少文件系统IO
• 高效排序：使用natcasesort()实现自然排序，中文文件名支持更好