Plupload-对安全性的怀疑
[英]Plupload - doubts about security
问题描述
http : //www.plupload.com- “ 允许您使用HTML5 Gears,Silverlight,Flash,BrowserPlus或常规形式上传文件,并提供一些独特的功能,例如上传进度,图像大小调整和分块上传。 ”这是使用的上传器在目前的WordPress v3.4.1中,我认为是最好的。
它带有upload.php文件(完整文件: http ://ideone.com/xbPUS)。
我对其安全性表示怀疑:当我在服务器上安装了upload.php时,即使没有为Plupload设置任何Javascript,任何人仍然可以相对轻松地随时发送请求以上传upload.php文件并上传任何内容...对或错?
我该如何预防?
2 个解决方案
解决方案1
5 已采纳 2012-08-14 08:19:18
这不是安全问题。 您可以尝试在Internet上将所需的任何内容上传到支持POST方法的服务器(地址)。 由服务器端软件决定是否接受此类上传-一直都是这种方式。 当然,可以限制谁上传哪些内容(使用令牌,授权等),但这取决于您(作为开发人员)来处理。
至于从plupload上传upload.php文件,我认为这只是一个简单而又肮脏的例子,这使得尝试plupload更加容易。
解决方案2
1 2012-08-14 08:22:55
我认为您希望Wordpress与upload.php一起使用,而不是反过来。 因此,如果有人直接调用upload.php,它将失败。 您能否设置一些特定的信息,这些信息仅在您的Wordpress函数中可用。 在upload.php中,您可以要求提供此信息(如果不可用),它将停止。 希望这是您所需要的。
有关网址中参数的疑问
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.