图像删除安全漏洞

Question

我已经开发了一个脚本来上传和删除图片。这些图像将保存到像webroot/映像这样的目录中。当单击“发布”按钮时，与每个用户上载相关的文件名将保存在数据库中。在此之前，图片将按照顺序上传，以便我可以显示预览。除了允许用户删除其他用户图像的安全漏洞外，一切似乎都正常。任何用户都可以复制图像的文件名，并将其插入删除脚本。是否有任何机制来防止这个问题。

希望这个解释不是无聊的，有点难以解释。

Answer 1

在存储图像文件名的数据库表中，为拥有图像的user_id添加一个字段。

调用delete操作时，在表中查找当前登录用户是否与他们试图删除的图像相关联。如果表中的user_id与登录用户不匹配，则不允许删除。

Answer 2

上传之前，您必须更改图像的文件名。在这种情况下时间戳是最好的。出于安全考虑，在删除图像时，必须检查文件是否为当前用户所有。