我正在使用出色的jquery-file-upload图像上传器,但需要将不同用户的图像存储在子文件夹中。我可以通过将文件夹的名称作为$_POSTarg 发送到 upload.class.php 或检索名称作为 arg 来做到这一点$_SESSION。
是否有安全偏好?
问问题
198 次
3 回答
7
如果文件夹名称是由用户输入的,它应该在一个$_POST具有适当形式的变量中。
如果它是由服务器确定的变量,则每个用户,它应该是一个$_SESSION变量。
这里没有安全问题,有一个问题是哪个更适合所需的功能。
于 2012-06-25T14:54:31.897 回答
0
我会亲自使用从数据库用户行传播的 $_SESSION 。
$_POST 必须通过线路,而 $_SESSION 没有。$_POST 也可以直接从表单修改,因此用户可以操纵您的表单上传到不属于他们的目录,这不是很好。
$_POST 的主要问题来自它的来源,即必须首先发送客户端的 HTML 表单。
于 2012-06-25T14:54:38.250 回答
0
最有价值的问题是您如何使用变量(例如防止注射)。
两者的坚持也非常不同。您必须选择是希望变量是持久会话方式 ($_SESSION) 还是仅用于特定页面/脚本。
于 2012-06-25T14:55:16.170 回答