我正在使用精彩的jquery-file-upload图片上传器,但需要在子文件夹中存储不同用户的图片。我可以通过将文件夹的名称作为$_POST arg发送到upload.class.php或将名称检索为$_SESSION arg来执行此操作。
是否有安全偏好?
答案 0 :(得分:7)
如果要由用户输入文件夹名称,则该文件夹名称应位于具有适当格式的$_POST变量中。
如果它是由服务器确定的变量,则每个用户应该是$_SESSION变量。
这里没有安全问题,有一个问题哪个更适合所需的功能。
答案 1 :(得分:0)
我个人会使用从数据库用户行传播的$ _SESSION。
$ _ POST必须通过电汇,因为$ _SESSION没有。 $ _POST也可以从表单中直接修改,这样用户就可以操作你的表单上传到不属于他们的目录,这不会很好。
$ _POST的主要问题来自它的源代码,HTML格式必须先在客户端发送。
答案 2 :(得分:0)
最值得关注的问题是如何使用变量(f.ex.防止注射)。
两者的持久性也非常不同。您必须选择是否希望变量是持久会话($ _SESSION)或仅针对特定页面/脚本。