我创建了一个网站,该网站将根据不同的帐户自动生成一些图表。
首先,我尝试使用相应的文件名生成图像(png),然后将png发送到服务器,然后在服务器收到其他任何get或post请求时删除png。
但是,当考虑在自动生成图形之后刚好对人A意味着人B的访问的情况时。由于相同的文件名,该图可能会被删除,从而成为人B的图。 ,然后发送给双方(据我所知)。
因此,我尝试为为不同帐户生成的png生成不同的文件名。但是,其他帐户虽然可能看不到网站上的png,但是他们仍然可以通过路径获取其他人的png。使用这种自动生成png的机制,是否有可能避免将图像发送给网站中的不相关事件接收者?
对不起,我英语不好。非常感谢!
答案 0 :(得分:0)
选项之一是使文件名尽可能复杂,例如32个字符的随机字符串(越长,长度越安全)。
we234fgt4lpx123cuyiedsd12cds345sd.png
其他人将很难猜测文件的名称,因为组合很难猜测。
选项2:
如果您具有基于登录名的访问权限,则可以利用将使用两列的数据库表1. 文件名和2. SessionId 。
因此,每次您都可以使用“会话ID列”的列值来验证登录用户的会话ID,如果两者都匹配,则仅向用户提供访问权限。