php - Thoughts on securing SWFUpload -
जावास्क्रिप्ट (उदा। एसडब्ल्यूएफ यूप्लोड) द्वारा नियंत्रित एक फ्लैश अपलोडर का उपयोग करने वाले मुद्दों में से एक यह है कि अपलोड स्क्रिप्ट इसका अर्थ यह है कि यदि अपलोड स्क्रिप्ट उपयोगकर्ता की पुष्टि करता है, तो यह असफल हो जायेगा।
इस के चारों ओर एक तरीका है कि PHPSESSID को स्क्रिप्ट पर पोस्ट पैरामीटर के रूप में देना होगा। यह एक सही समाधान नहीं है, हालांकि, कई होस्टिंग प्रदाता के पास PHP सेटिंग "session_use_only_cookies" चालू है, अनुरोध से स्वीकार किए जाने से सत्र आईडी को रोकने से।
यह स्पष्ट रूप से एक बड़ी चिंता है कि आप अपने अपलोड स्क्रिप्ट को निष्पादित करने वाले अनाम उपयोगकर्ताओं को नहीं चाहिए, यह भगवान को जानता है- यह भगवान से जानता है-जहां से है।
मैं सोच रहा हूं कि किसी व्यक्ति के पास सत्र और कुकीज़ के अलावा अन्य उपयोगकर्ताओं को प्रमाणित करने के लिए कोई विकल्प नहीं है। । क्या यह मान्य करना संभव होगा कि फ्लैश अनुरोध अपेक्षित स्रोत से आया था और यह कि एक वैध उपयोगकर्ता ने अनुरोध शुरू किया। PHPSESSID के अलावा किसी प्रकार के टोकन का उपयोग करना, शायद, यह कैसे काम करेगा, अगर बिल्कुल भी?
Comments
Post a Comment