Question

作为一个js-firsttimer，想要问下面的脚本是否正确（安全），考虑到通过php检测并处理了文件类型。

var _URL = window.URL || window.webkitURL;

$("#file").change(function(e) {
var file, img, size;


if ((file = this.files[0])) {

    if(file.size < "5100000"){
        size = "good";
        img = new Image();
        img.onload = function() {
            if((this.height/(this.width / 64)) < "200"){
                if(size == "good"){
                    //alert("ok to upload");
                $("#blah").attr("src", img.src);
                }
            }else{ alert("File is too big (dimensions)");}
        };
        img.src = _URL.createObjectURL(file);
    } else {
        size = "big";
        alert("File is too big, use 5MB or smaller");
    }


}

});

编辑PHP PART

if(isset($_POST["titletext"])){


echo $_POST["titletext"];
if (!$_FILES["avafile"]["error"] > 0) {
    echo "Upload: " . $_FILES["avafile"]["name"] . "<br>";
    echo "Type: " . $_FILES["avafile"]["type"] . "<br>";
    echo "Size: " . ($_FILES["avafile"]["size"] / 1024) . " kB<br>";
    echo "Temp file: " . $_FILES["avafile"]["tmp_name"] . "<br>";
    move_uploaded_file($_FILES["avafile"]["tmp_name"], "upload/" . md5($_FILES["avafile"]["name"]));
    echo '<img class="img-rounded" style="width: 64px;" src="./upload/'.$_FILES["avafile"]["name"].'">';
}

}

如果有办法检测作为图像上传的脚本/文字并使用一些“striptags”，那么现在也想要它。

正在使用md5（某物）名称上传图像。

javascript图片上传和查看的安全性

0 个答案: