Dooling Posted October 7, 2008 Report Posted October 7, 2008 http://www.monc.se/galleria/demo/demo_01.h...lowing-rock.jpg - domāju izmantot šo galeriju, bet jautājums cik Jūsuprāt ir drošs šis kods? Kad nospiež uz attēlU, saitē tiek mainīts attēla ceļš. Respektīvi daudz man zinošs lietotājs spēs nomainīt to ceļu un ievietot bildi kuru vēlēsies. Varbūt varat kaut kādu līdzīgu attēlu galeriju ieteikt?
bubu Posted October 7, 2008 Report Posted October 7, 2008 "... un ievietot bildi kuru vēlēsies." Kur to bildi viņš spēs ievietot?
Aleksejs Posted October 7, 2008 Report Posted October 7, 2008 Drošs pret ko? Lai lietotājs nevarētu pats novilkt bildi?
Dooling Posted October 7, 2008 Author Report Posted October 7, 2008 (edited) > bubu Lūk piemērs: http://www.monc.se/galleria/demo/demo_01.h...ibirska_l_2.jpg - tika saite mainīta ar roku paši nomainiet > Aleksejs Lai "nokautu" lapu. Edited October 7, 2008 by Dooling
bubu Posted October 7, 2008 Report Posted October 7, 2008 Dooling: nesapratu. Kas tad ir ar to urli? Vai tad nav normāli, ka to var iedot kādam citam savam draugam, piemēram, lai apskatās.
waplet Posted October 7, 2008 Report Posted October 7, 2008 http://www.monc.se/galleria/demo/demo_01.h...ges/hpgreen.gif Viņš laikam domāja to ka katrs var savu bildi ielikt .piemērs augstāk!
Dooling Posted October 7, 2008 Author Report Posted October 7, 2008 http://www.monc.se/galleria/demo/demo_01.htm# - šo iekopējiet un pēc tam pielieciet klāt urlim šo te urli http://www.tvnet.lv/sports/images/upload/actione_h_3.jpg
bubu Posted October 7, 2008 Report Posted October 7, 2008 Ah, tagad sapratu. To jau nevajadzētu būt problēmas novērst. Vajag mazu pārbaudi uzrakstīt, lai urlis nebūtu absolūtais (bez xx:// sākuma). Vai/un arī iesniedz bugreportu projekta mājaslapā: http://code.google.com/p/galleria/issues/list
codez Posted October 7, 2008 Report Posted October 7, 2008 Nu un kas ka viņš nomainīs, to jau viņš darīs savā pārlūkā un nevienam, izņemot viņu pašu, nekādi traucējumi vai izmaiņas nebūs.
Grey_Wolf Posted October 8, 2008 Report Posted October 8, 2008 Es arii nesapratu kur problema? Nu nomaina vinsh 1 bildi pret saveejo ? Nu ja cilvecinsh grib lai tachu maina ... taa jau nav uzlauzsana ;) Pats jau tikai sev visu cakaree, parejais jau straada tapat ....
Java Posted October 8, 2008 Report Posted October 8, 2008 Īsti nesapratu, kāds tam sakars ar drošību? Tu jau tikai savā (klienta) pusē čakarē to paskatu, ne jau uploado to bildi uz serveri... Serverim no tā ne silts, ne auksts!
Maris-S Posted October 8, 2008 Report Posted October 8, 2008 (edited) Vienīgais ko var piebilst no drošības viedokļa šai bilžu galerijai ir nepieļaut linkā pāriešanu uz iepriekšējām direktorijām. Šajā saitā tas ir pieļauts, piemēram, ja linkam beigās pieliek - '../../_i/fasr_1.jpg', bez apostrofiem protams, tad viņš tur parādīs šo attēlu (šis attēls ir viņu galvenajā lapā - http://www.monc.se, vismaz kamēr es rakstu šo postu ir gan šis attēls galvenajā lapā, gan šis drošības caurums. Tāda veida drošības caurums varētu kaitēt dažos gadījumos, piemēram, ja ir vairāk lietotāju sistēma, kur katram ir savs folderis (piemēram nosaukts pēc unikāla lietotāja vārda) un viņi tur glabā savas bildes, bet ja sistēma ir veidota tā ka viņi nevar apskatīt viens otra bildes, tad izmantojot šo caurumu varēs ložņāt pa svešām bildēm. It īpaši bīstami ja bilžu nosaukumi ģenerētos augšupielādējot, izmantojot kārtas skaitli vai identifikatoru, piemēram image_1.jpg, ......, jo šādam gadījumam atkrīt pat attēlu nosaukuma minēšana. Aizsargāt ceļu uz iepriekšējiem folderiem var ar vienkāršu php funkciju: function remove_path(&$file) { while (strpos($file, '/')!==FALSE) { $file=str_replace('/', '', $file); } } Funkciju rakstīju uz ātro, tāpēc īpaši neuzticaties, ja kāds izmantos, ta papētiet vai kaut kā netrūkst. Protams šim drošības caurumam nav sakara ar pašu bilžu galeriju kā tādu, šo caurumu jānovērš ar php jebkurā gadījumā, ja linkā padod faila nosaukumu. Edited October 8, 2008 by Maris-S
Recommended Posts