0

我开发了一个脚本来上传和删除图像。图像将保存到 webroot/images 之类的目录中。单击发布按钮时,与每个用户上传相关的文件名将保存在数据库中。在此之前,图像将按顺序上传,以便我可以显示预览。除了允许用户删除其他用户图像的安全漏洞之外,一切似乎都运行良好。例如:任何用户都可以复制图像的文件名并将其注入删除脚本。有什么机制可以防止这个问题。

希望这个解释不会无聊,它有点难以解释。

4

2 回答 2

2

在存储图像文件名的数据库表中,为user_id拥有该图像的字段添加一个字段。

调用删除操作时,在表中查找以查看当前登录的用户是否与他们尝试删除的图像相关联。如果user_id表中的 与登录用户不匹配,则不允许删除。

于 2013-10-04T06:53:53.560 回答
1

您必须在上传之前更改图像的文件名。在这种情况下时间戳是最好的。出于安全考虑,在删除图像时,您必须检查文件是否由当前用户拥有。

于 2013-10-04T06:29:34.533 回答