我有一个名为“File_upload”的控制器,它通过文件上传器窗体中的ajax调用。作为安全加固的一部分,我想确保File_upload控制器不能通过浏览器或任何其他“黑客”被调用,并且只能通过表单调用。保护Codeigniter文件上传控制器
有没有人有关于如何做到这一点的任何建议>它会通过某种令牌来完成吗?如果有人有任何想法或代码片段可能会让我走向正确的方向,我将不胜感激。
我假设文件上传表单必须将某种信息传递给控制器,并且控制器会在继续之前检查它的存在。该应用程序正在下周对File Uploader进行一些严格的安全测试,因此我希望在确保上传者不会被恶意黑客覆盖的情况下取得先机。
由于在期待
“无法通过浏览器或调用的任何其他‘黑客’,而且它只能通过形式被称为”
这实际上并没有赚很多的意义 - 你无法控制它从哪里被调用,只有什么信息被传递到你的服务器的功能。
你可以控制一些事情,比如它是否是一个Ajax请求:
http://ellislab.com/codeigniter/user-guide/libraries/input.html $这个 - >输入 - > is_ajax_request()
所以,是的,你可以设置一些类似的令牌系统来检查请求是否具有所需的信息。通常,只需检查发出请求的用户是否已登录即可;让您的登录验证系统处理安全
如果你不清楚什么我在第一线,旨在了解不控制它是从哪里调用,给这个读:
http://codebyjeff.com/blog/2012/12/web-form-security-avoiding-common-mistakes