0

我正在为客户开发一个在线照片证明系统,客户被赋予密码并且必须登录才能查看他们的相册。有些图像可能是敏感/裸照,其他人不应该看到。但如果黑客非常聪明,他/她可以直接输入 URL。但是话又说回来,他必须知道图像的每个名称和确切的文件夹结构......服务器已设置好,因此您必须知道确切的 url。您无权查看文件夹结构/文件树。我无法覆盖 .htaccess 文件。

这是一个安全风险,应该让我将图像存储在 mySQL 数据库中,而不是将文件保存到目录中?

提前致谢。

4

2 回答 2

0

为永远的 img id 在数据库中放置标志,即 1 用于公共 2 用于成人,因此如果用户在上传时检查它的成人内容,则在数据库中插入标志“2”。因此,之后,检查请求的图像是否具有标志 1,如果为 false,则检查 $_SESSION 是否填充了用户所有者的标志,如果是外国人会话 - 不显示内容。

于 2013-03-31T19:34:05.047 回答
0

创建一个长的随机字符串并将其保存到用户对应的位置。然后将很难通过检查凭据来暴力破解和限制用户的前端访问

于 2013-03-31T19:34:48.573 回答