| |
|
|
| | Добрый день! Столкнулся с проблемой.
Систему администрирования строю на основе SoftTime FrameWork. Для авторизцаии использую переменные окружения $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'].
В одном из модулей системы администрирования используется jQuery плагин uploadify, который позволяет загружать файлы без перезагрузки страницы. Плагин, как я понимаю, достаточно сложный - использует Flash и JavaScript. Обработкой операции перемещения загруженного файла после его загрузки плагином занимается мой php-скрипт.
В этом скрипте недоступны переменные окружения $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'], массивы $_SESSION и $_COOKIE также недоступны. В принципе скрипт ничего не делает, кроме как перемещает загруженный файл из временной директории в нужную директорию.
Если такой скрипт не будет защищен, как остальные файлы системы администрирования, это будет являться дырой в безопасности или нет?
P.S. пока что приходит на ум только динамически из основного скрипта сгенерировать JavaScript, который будет отправлять правильный логин и пароль скрипту-загрузчику. Но тогда эти данные будут отправляться в браузер пользователя... | |
| |
|
|
| |
|
|
| |
для: Ирбис
(09.07.2010 в 16:31)
| | | В общем не должно быть дыры, если этот скрипт сам файлы не загружает. Вы можете для него исключить/поменять логику utils/security_mod.php, чтобы обойти защиту - тогда не придется ничего отправлять. | |
| |
|
|
| |
|
|
| |
для: cheops
(10.07.2010 в 10:30)
| | | Скрипт сам файлы не загружает.
Большое спасибо за ответ! | |
| |
|
|
