Xpoint
   [напомнить пароль]

Безопасность модуля upload редактора FCKEditor

Метки: [без меток]
2007-10-21 23:31:48 [обр] Денис Т.[досье]
Поставил себе на сайт WYSIWYG-редактор FCKEditor 2.4.3 и теперь мучаюсь вопросом безопасности. У меня включён модуль upload.php. Сам редактор используется только на админской страничке (т. е. вход по паролю). Но странички с редактором можно открывать отдельно из папки fckeditor. Меня терзает вопрос: ведь возможно, что кто-то посторонний может открыть редактор или даже как-то запустить скрипт загрузки файлов на сервер, чтоб залить какую-нибудь дрянь. Там стоит ограничение на расширения файлов, но всё равно, не хотелось бы, чтоб кто-то имел доступ к редактору в обход админки. Кто юзал этот редактор, поделитесь соображениями. Насколько безопасно держать у себя такую штуку?
спустя 49 минут [обр] Давид Мзареулян(7/1003)[досье]
Денис Т.[досье] Как минимум сам скрипт аплоада следует запаролить. Обязательно.
спустя 7 часов [обр] Денис Т.[досье]
Давид Мзареулян, вот я думаю, как это сделать. Ведь он вызывается javascript'ом...
спустя 3 часа 50 минут [обр] Давид Мзареулян(7/1003)[досье]
Денис Т.[досье] Ну и что? JS - на клиенте, а пароль ставится на сервере.
спустя 1 час 4 минуты [обр] Денис Т.[досье]
Проблема решена с помощью сессий. Добавляем в начало файла код, подобный следующему:
session_start();
if ($_SESSION['amilogged'] != "iamlogged") {
    die("You are not logged...");
}
Powered by POEM™ Engine Copyright © 2002-2005