- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我将所有图片保存在普通用户无法访问的根目录中。我随机生成所有文件名,所以我不想让他们知道文件的路径或名称。目前,我有这样的 img
元素:
<img src="get_image.php?id=1">
我的 get_image.php
页面是这样的:
<?php
include_once 'includes/db_connect.php';
include_once 'includes/functions.php';
$uploaddir = '/root/......./uploads/'; //Direct path from root to folder holding files
$id = $_GET['id'];
if(!is_numeric($id)) {
die("File id must be numeric");
}
// A QUICK QUERY ON A FAKE USER TABLE
$stmt = $mysqli->prepare("SELECT `name`, `mime` FROM `uploads` WHERE `filmId`=?");
$stmt->bind_param("i", $id);
$stmt->execute();
$stmt->bind_result($name, $mime);
// GOING THROUGH THE DATA
while($stmt->fetch()) {
header("Content-Type: " . $mime);
readfile($uploaddir.$name);
}
?>
如果有办法我可以做到这一点?我不想像这样直接调用图片文件src:
<img src="../../../uploads/file.jpg"> <!-- I don't want to do this -->
这样做会给用户(或攻击者)提示我将上传的文件保存在哪里。这些图像是用户上传的,因此如果攻击者上传带有恶意代码的图像(即使我有很多代码检查和验证文件),他们也不知道该文件的保存位置。
另外,我不熟悉网络开发并确保其安全。如果您有任何提示或指示可以添加到我必须让我的网页更安全的东西上,请随时。谢谢!
我正在使用 this link确保此功能安全。
解决方案:
代替:
header("Content-Type: " . $mime);
readfile($uploaddir.$name);
我把这个:
header("Content-Type: " . $mime);
$contents = file_get_contents($uploaddir . $name);
echo $contents;
而且有效。
最佳答案
不仅如此,您可以做到这一点。你甚至可以点一个 <img>
到似乎是图像路径的 PHP 脚本。例如:
<img src="phpimages/my_image.png" />
这个技巧需要一个 Apache HTTP 服务器(您无疑会使用它)和 mod_rewrite
它的插件(你肯定已经安装了)。你可以把 .htaccess
文件在 /phpimages/
内容如下:
RewriteRule ^([^\.]+)\.(png|jpg|gif)$ /image.php?file=$1.png [NC,L]
如果您只需要用户 ID,可以将正则表达式限制为:
RewriteRule ^([0-9]+)\.(png|jpg|gif)$ /image.php?file=$1.png [NC,L]
这个过程进一步解释here .
在脚本中 image.php
(在同一目录中),然后您将文件名作为字符串获取,例如:
$filename = $_GET["file"]; //eg.: "file1.jpg"
不要忘记过滤掉 ../
破解尝试。要将文件打印给用户,前提是它确实存在,请使用 readfile
:
const REAL_AVATAR_PATH = "../../../uploads/"
if(file_exists(REAL_AVATAR_PATH.$username)) {
header("Content-Type: image/jpg"); //For simplicity, I have ommited to send different header for different images as "png", "gif" and so on.
readfile(REAL_AVATAR_PATH.$username);
}
else {
header("HTTP/1.0 404 Not Found");
die("Error 404 - sorry");
}
在您的情况下,您可以将路径设置为 /avatars/[number].png
(并将所有图像转换为 png
)。
关于php - 使 <img> src 指向一个 php 页面,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24290558/
我正在尝试使用 jquery 获取图像 src,如下所示: HTML Javascript var imageSrc = $('.post_container img').attr('s
我遇到错误,无法完成构建。我搜索了 Stackoverflow 和 Github。我已经尝试了很多方法,但我无法修复。请帮忙。 (1) 在 [src/nullnull/debug, src/debug
我正在尝试使用图像制作一款类似 Match3 的游戏,但我无法进行比较。我正在为固定数量的 atm 执行此操作,只是为了让它正常工作,稍后应该在 foreach 循环中。如果有什么区别的话,该函数位于
我正在使用 jquery 插件 OwlCarousel,在我的一个 View 中使用 ng-repeat 场景,如下所示: 它运行良好,并为轮播中的每个项目输出以下标记: 有没
我的代码如下所示: Bitmap b = BitmapFactory.decodeResource(getResources(), R.drawable.image1); int wi
如果未找到 src,我将使用 Angular 指令作为后备 url 作为名称首字母 指令 (function () { 'use strict'; angular .m
我是构建 chrome 扩展的新手,从一个小项目开始,我需要在弹出窗口中打印“构建版本”。构建版本被附加到 JS/CSS 资源中,如下所示: 需要从脚本 src 值中提取“6.0”。你能帮我看看如何
类型‘AbstractControl’上不存在属性‘Controls’。
这个tutorial演示如何使用指令 ngSrc 而不是 src : 他们要求: Replace the ng-src directive with a pl
我正在创建一个包含多个图像的图库,您可以在其中单击一个小缩略图,然后将打开该图像的更大版本。 打开后,如果您移动光标,图像将在 y 轴上跟随您。类似于 https://www.zara.com/es/
文档[] src.charAt src.length 这三样东西是什么? 我确定 pixState 会给我 1 或 0; var pixState = document[imgName].src.ch
问题背景: 我正在使用这个问题的解决方案:How to update AngularJS view when the value has not changed?所以在我看来我有: 当我更改照片时
我在 html 中有整个页面,在输出之前我想将所有 img src 替换为 data-src我正在使用 return (preg_replace('~]*\K(?=src)~i','data-',
Difference(s): android:src and tools:src? 如果有的话,什么时候使用 tools:src 而不是 android:src 是合适的? 最佳答案 如果您在运行时在
我需要检查每个 script 标签的 src 值,如果匹配,我想更改该脚本标签的 src 属性...像这样: var scripts = document.getElementsByTagName("
使用 img 标签的 data-src 或 src 属性有什么区别和后果(好的和坏的)?我可以使用两者获得相同的结果吗?如果是这样,应该什么时候使用它们? 最佳答案 属性 src 和 data-src
我使用 Vue。我尝试输出图像,当我使用 src 时效果很好,但当我使用 :src 时效果不佳。 作品 不起作用 我试过但没有用 @ 在路径的第一个。 ~ 路径中的第一个。 ./ 在路径的第一个。
在当前项目中我正在使用 jQuery。我只是想知道为什么会这样, $('#homeIcon').hover(function(){ document.getElementById('homeI
我在严格的 Java 环境中。 所以这个问题并不像标题中那么简单,我不是要解决我遇到的问题,它更理论化,以获得更好的知识。 我感兴趣的是用双引号或单引号匹配 src,但如果是双引号,它也必须用双引号结
我有一个 Joomla 2.5.28,现在使用 https 而不是 http。 一些文章(很多)包含来自 Vimeo 的嵌入视频。 最初,这些视频是使用http嵌入的,所以现在我的数据库中有字段int
我是一名优秀的程序员,十分优秀!