又写了一款简洁的图床：ImgURL

imyoy

收藏一下

imyoy

xiaoz 发表于 2018-1-8 23:28
你上传的文件多大，会不会是web超时了？

1.header顶部菜单只根据是否有cookie就显示，随便伪造一个uid即可浏览管理员上传目录，不妥当。
2.explore只根据传入的目录参数做依据里面没加目录权限判定，只要被得到管理员目录即可查看，不妥当。

imyoy

xiaoz 发表于 2018-1-17 17:05
感谢建议，
1.uid是根据管理员账号md5加密的，除非知道加密后的字符串，不然伪造的话应该很困难。
2.图片 ...

我说的header.php里的这几句，只验证了cookie存在即显示管理员菜单，然后可以直接跳转到管理员图库目录

1.                                                                         if(isset($_COOKIE['uid'])) {
   
2.                                                                                 include_once('./config.php');
   
3.                                                                                 $mydir = $config['admindir'];
   
4.                                                                                 echo "<li><a href='./recycle.php'>回收站</a></li>";
   
5.                                                                                 echo "<li><a href='./explore.php?dir=$mydir'>管理员</a></li>";
   
6.                                                                                 echo "<li><a href='./functions.php?type=logout'>退出</a></li>";
   
7.                                                                         }
   
8.                                                                         else {
   
9.                                                                                 echo "<li><a href='./login.php'>登录</a></li>";
   
10.                                                                         }

复制代码