0

我只是在集思广益,让网站用户在不使用 Web 表单的情况下向网站提交信息。我看到的一个想法是允许用户上传包含用户想要以 ini 格式提交的信息的 ini 文件。然后使用 parse_ini_file 将提交的信息放入一个数组中,然后我可以在站点内验证和使用该数组。

但由于 ini 文件是配置文件,让用户这样做似乎有点吓人。如果,只要所有此类文件都保存在 webroot 之外,权限为只读,具有随机名称,并在解析后立即删除,那么从安全角度来看,这是一种不好的方法吗?

同样,只是头脑风暴,file_get_contents 会是更好的方法吗?

4

3 回答 3

1

文件就是文件,除非您当然允许程序实际执行内容(不要这样做),否则扩展名在很大程度上并不重要。但是,您为什么不希望发布表单?如果您说您想要非可视化的数据块发布,那么 JSON 或基于 XML 的解决方案会更合适。使用“.ini”文件上传来提交数据是一个真正的骗局,而不是被认为是最佳实践。

于 2013-05-15T15:12:21.300 回答
0

您是否考虑过parse_ini_string()改用?这将使您免于创建临时文件,但仍提供相同的解析优势。

至于安全性,解析任何东西都可能是一个问题,但最重要的是在解析完成后进行清理。

于 2013-05-15T15:12:45.353 回答
0

当涉及到非常基本的配置时,我相信 YML。我想我会选择一个大的文本区域而不是上传文件

于 2013-05-15T15:12:45.427 回答