0

http: //www.plupload.com- " HTML5 Gears、Silverlight、Flash、BrowserPlus、または通常のフォームを使用してファイルをアップロードでき、アップロードの進行状況、画像のサイズ変更、チャンクアップロードなどの独自の機能を提供します。 "これは使用されるアップローダーです現在のWordPressv3.4.1で、私の意見では最高のものです。

upload.phpファイル(完全なファイル:http://ideone.com/xbPUS)が付属しています

そのセキュリティについて疑問があります。サーバーにupload.phpがある場合、Plupload用のJavascriptを設定していなくても、誰でも比較的簡単にupload.phpファイルへのリクエストを送信して何でもアップロードできます...正しいか間違っているか?

どうすればそれを防ぐことができますか?

4

2 に答える 2

5

これはセキュリティの問題ではありません。インターネットを介して、POSTメソッドをサポートするサーバー(アドレス)に必要なものをアップロードしてみることができます。このようなアップロードを受け入れるか拒否するかはサーバー側のソフトウェア次第です。これは常にこの方法です。もちろん、誰が何をアップロードするか(トークン、承認などを使用)にいくつかの制限が課せられる可能性がありますが、それは(開発者としての)あなた次第です。

pluploadからのupload.phpファイルに関しては、これは簡単で汚い例であると思われます。これにより、pluploadの試用が少し簡単になります。

于 2012-08-14T08:19:18.750 に答える
1

Wordpressがupload.phpで動作し、その逆ではないことを望んでいると思います。したがって、誰かがupload.phpを直接呼び出すと、失敗します。Wordpressの機能内からのみ利用できる特定の情報を設定できますか?upload.phpで、この情報を要求できます。利用できない場合は停止します。これがあなたが必要とするものであることを願っています。

于 2012-08-14T08:22:55.550 に答える