我使用PHP和Javascript(主要是jQuery)编写了一个简单的伪CMS。在某种情况下,用户可以更改给定页面上<img/>标记的来源。我想允许他们访问(浏览和选择)远程文件(机器上的文件)和本地文件(Web服务器上的文件)。在后一种情况下,它们不会这样上传,而只是将给定<img/>标签的来源更改为服务器上已存在的图像。
我认为没有真正的安全问题,因为用户已经必须登录才能达到这一点。有问题的用户也是该网站的所有者,所以我并不担心他们的任何恶意。
这是:
可能?
如果是,那怎么做?
以任何方式潜在的不安全感?
由于
答案 0 :(得分:-1)
我自己回答这个问题,但我不会说得对,因为我不喜欢我的回答。我希望其他人找到这个,并提供更好的解决方案。
我现在使用两个文件输入,用户可以选择:
一个。使用第一个输入从桌面上传(通常情况下)
或:
湾从服务器上已填充PHP scandir()的目录中的伪文件列表中选择,然后使用javascript响应其选择。
它可以工作,但我不喜欢它,因为为一个充满图像的目录生成视图是资源密集型的,因为它需要额外的编码,因为他们没有通过本机浏览器文件对话选择文件。
随意提供更好的解决方案。