我目前正在使用Javascript通过xmlhttprequest发送文件的上传系统,这很好用。现在我想将文件信息与关于上传器的信息一起存储在数据库中。 用户必须登录才能上传文件。因此,我将所有登录的成员存储在自己的表中(id,user_id,session_id,token)。
现在我的问题是我不知何故必须确定上传者信息的用户名。 我目前的解决方案是这样的:
var fd = new FormData();
fd.append("file", document.getElementById('file').files[0]);
fd.append("user", {{username}});
var xhr = new XMLHttpRequest();
xhr.open("POST", "/upload/local/handleUpload.php");
xhr.send(fd);
我正在使用twig模板系统来呈现模板文件({{username}}是php脚本发送的用户名)
现在我明白用户名可以轻松更改为其他内容。这就是为什么我要确保在“logged_in”表中有一个具有此用户名的用户以及可能的session_id。
我的第一种方法是只追加用户的当前session_id并发送它。
fd.append("session_id", {{session_id}});
但这是我的问题:这是一种“安全”的方式吗?或者我该如何应对呢? 我感谢我能得到的一切帮助!
非常感谢!
答案 0 :(得分:0)
没有必要发送会话ID,因为会话cookie无论如何都会被发送。为确保用户存在,handleUpload.php必须根据数据库表检查会话。