我已经开发了一个脚本来上传和删除图像。图像将被保存到webroot / images之类的目录中。单击发布按钮时,与每个用户上载相关的文件名将保存在数据库中。在此之前,图像将按顺序上载,以便我可以显示预览。除了一个安全漏洞,该漏洞允许用户删除其他用户的图像外,其他所有功能似乎都正常运行。例如:任何用户都可以复制图像的文件名并将其注入到删除脚本中。是否有任何机制可以防止此问题。
希望这个解释不会无聊,有点难以解释。
在存储图像文件名的数据库表中,为user_id
拥有图像的域添加一个字段。
调用delete操作时,在表中查找以查看当前登录用户是否与他们尝试删除的图像相关联。如果user_id
表中的与登录用户不匹配,则不允许删除。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句