http://www.plupload.com - “允许您使用 HTML5 Gears、Silverlight、Flash、BrowserPlus 或普通表单上传文件,提供一些独特的功能,例如上传进度、图像大小调整和分块上传。 ”这是使用的上传器在当前的 WordPress v3.4.1 和我认为最好的一个。
它带有 upload.php 文件(完整文件:http://ideone.com/xbPUS )。
我怀疑它的安全性:当我的服务器上有 upload.php 时,即使我没有为 Plupload 设置任何 Javascript,任何人仍然可以相对轻松地发送请求到 upload.php 文件并随时上传任何内容......对或错?
我该如何防止呢?
这不是安全问题。在互联网上,您可以尝试将任何您想要的内容上传到支持 POST 方法的服务器(地址)。接受或拒绝此类上传取决于服务器端软件 - 一直都是这样。当然,对于谁上传什么(使用令牌、授权等)可能会有一些限制,但这取决于您(作为开发人员)来处理。
至于来自 plupload 的 upload.php 文件,我认为这只是一个快速而肮脏的例子,这使得尝试 plupload 更容易一些。
我认为您希望 Wordpress 与 upload.php 一起使用,而不是相反。因此,如果有人直接调用upload.php,它将失败。您能否设置一些仅在您的 Wordpress 功能中可用的特定信息。在 upload.php 中,您可以询问此信息,如果不可用,它将停止。希望这是你需要的。