Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/398.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php Plupload-对安全性的怀疑_Php_Javascript_Security_File Upload_Plupload - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php Plupload-对安全性的怀疑

Php Plupload-对安全性的怀疑

php javascript security file-upload

Php Plupload-对安全性的怀疑,php,javascript,security,file-upload,plupload,Php,Javascript,Security,File Upload,Plupload,-“允许您使用HTML5 Gears、Silverlight、Flash、BrowserPlus或普通表单上传文件,提供一些独特的功能,如上传进度、图像大小调整和分块上传。”这是当前WordPress v3.4.1中使用的上传器,也是我认为最好的上传器 它附带upload.php文件(完整文件:) 我怀疑它的安全性:当我在我的服务器上有upload.php,即使我没有为Plupload设置任何Javascript,任何人仍然能够相对容易地发送upload.php文件的请求并在任何时候上传任何东西

-“允许您使用HTML5 Gears、Silverlight、Flash、BrowserPlus或普通表单上传文件,提供一些独特的功能,如上传进度、图像大小调整和分块上传。”这是当前WordPress v3.4.1中使用的上传器,也是我认为最好的上传器

它附带upload.php文件(完整文件:)

我怀疑它的安全性:当我在我的服务器上有upload.php,即使我没有为Plupload设置任何Javascript,任何人仍然能够相对容易地发送upload.php文件的请求并在任何时候上传任何东西。。。对还是错

如何防止这种情况发生?

这不是安全问题。通过互联网,你可以尝试上传任何你想要的东西到支持POST方法的服务器(地址)。这取决于服务器端软件接受或拒绝这样的上传——一直都是这样。当然,对于谁上传什么(使用令牌、授权等)可能会有一些限制,但这取决于您(作为开发人员)来处理

至于从plupload上传.php文件,我认为这只是一个快速而肮脏的示例,这使得试用plupload变得更容易。

这不是一个安全问题。通过互联网,你可以尝试上传任何你想要的东西到支持POST方法的服务器(地址)。这取决于服务器端软件接受或拒绝这样的上传——一直都是这样。当然,对于谁上传什么(使用令牌、授权等)可能会有一些限制,但这取决于您(作为开发人员)来处理

至于从plupload上传.php文件,我认为这只是一个快速而肮脏的示例,这使得试用plupload更容易一些。

我认为您希望Wordpress使用upload.php,而不是相反。因此,如果有人直接调用upload.php,它将失败。您可以设置一些特定的信息,这些信息只能从您的Wordpress功能中获得。在upload.php中,您可以询问此信息,如果不可用,它将停止。希望这就是您所需要的。

我认为您希望Wordpress与upload.php一起工作,而不是相反。因此,如果有人直接调用upload.php,它将失败。您可以设置一些特定的信息,这些信息只能从您的Wordpress功能中获得。在upload.php中,您可以询问此信息,如果不可用,它将停止。希望这就是你所需要的。

完全正确!另外,添加一个限制文件扩展名的检查相对容易。因此,这是一个安全问题-因为它们没有包括基本的过滤器来删除上载PHP文件等功能。它们提供了脏脚本。是否存在任何“通用/通用”过滤器来扩展upload.php?为了排除PHP.Ok之类的文件,这里需要区分两件事。如果您严格要求从plupload示例中获取upload.php,那么将其放到服务器上并继续使用可能会带来安全问题。如果你问上传是否安全,答案是(或多或少)是-只要你过滤数据(按类型、大小等)并提供身份验证。@WTK是的!谢谢你的回答!现在,我只想寻找一些过滤脚本和方法,使其在WordPress中“以正确的方式”工作:)完全!另外,添加一个限制文件扩展名的检查相对容易。因此,这是一个安全问题-因为它们没有包括基本的过滤器来删除上载PHP文件等功能。它们提供了脏脚本。是否存在任何“通用/通用”过滤器来扩展upload.php?为了排除PHP.Ok之类的文件,这里需要区分两件事。如果您严格要求从plupload示例中获取upload.php,那么将其放到服务器上并继续使用可能会带来安全问题。如果你问上传是否安全,答案是(或多或少)是-只要你过滤数据(按类型、大小等)并提供身份验证。@WTK是的!谢谢你的回答!现在我只想寻找一些过滤脚本和方法,以使它在WordPress中“以正确的方式”工作:)谢谢你的建议。你对如何使用这些“只能从你的Wordpress功能中获得的特定信息”有什么想法吗?它是来自数据库的唯一ID吗?还是PHP会话?Cookie?我想我应该为这个上传功能编写一个Wordpress插件。在这个插件中,您可以包含upload.php文件。在插件中有一个函数,它使用upload.php文件。在这个函数中,您可以设置一个常量。在upload.php中,可以检查此常量。所以这个常量只能在你的wordpress插件中使用。你觉得呢?它对我来说是常数。我正在阅读PHP.net关于上传文件的手册。可以做很多改进:)谢谢你的宝贵建议!谢谢你的建议。你对如何使用这些“只能从你的Wordpress功能中获得的特定信息”有什么想法吗?它是来自数据库的唯一ID吗?还是PHP会话?Cookie?我想我应该为这个上传功能编写一个Wordpress插件。在这个插件中,您可以包含upload.php文件。在插件中有一个函数,它使用upload.php文件。在这个函数中,您可以设置一个常量。在upload.php中,可以检查此常量。所以这个常量只能在你的wordpress插件中使用。你觉得呢?它对我来说是常数。我正在阅读PHP.net关于上传文件的手册。可以做很多改进:)谢谢你的宝贵建议!我也有同样的想法。这个脚本很烂,但展示了如何处理多部分文件。如果两个或多个用户正在上载具有相同名称的相同文件,那么。我猜部分文件将被破坏。此外,它只进行客户端筛选。我有相同的doupt。此脚本很糟糕,但显示了如何处理多部分文件。如果两个或多个用户正在上载具有相同名称的相同文件,则.part文件