http://www.plupload.com - “允许您使用HTML5 Gears,Silverlight,Flash,BrowserPlus或普通表单上传文件,提供一些独特的功能,例如上传进度,图片大小调整和分块上传。 “这是当前WordPress v3.4.1中使用的上传器,也是我认为最好的上传器。
它附带upload.php文件(完整文件:http://ideone.com/xbPUS)。
我对它的安全性有疑问:当我在服务器上安装upload.php时,即使我没有为Plupload设置任何Javascript,任何人都可以相对轻松地向upload.php文件发送请求并随时上传任何内容...是真还是假?
我该如何预防?
答案 0 :(得分:5)
这不是安全问题。在互联网上,您可以尝试将任何您想要的内容上传到支持POST方法的服务器(地址)。服务器端软件接受或拒绝这样的上传 - 它始终是这样的。当然可以对谁上传什么(使用令牌,授权等)进行一些限制,但这取决于你(作为开发人员)来处理。
对于来自plupload的upload.php文件,我认为它只是一个快速而肮脏的例子,这使得尝试plupload更容易一些。
答案 1 :(得分:1)
我认为你希望Wordpress能够与upload.php配合使用,而不是其他方式。因此,如果有人直接调用upload.php,它将失败。您能否设置一些只能在Wordpress功能中使用的特定信息。在upload.php中,您可以询问此信息,如果不可用,它将停止。希望这就是你所需要的。