Бесплатная версия компонента Файлы, имеющая базовый функционал для загрузки и просмотра файлов. Эта версия предназначена для загрузки файлов к записям типов контента.
Особенности функционала
— Есть настройки для отображения и редактирования
— Пакетная аякс загрузка файлов
— Свободное перемещение файлов по списку файлов
— Предпросмотр файлов популярных форматов
— Удаление файлов при удалении поля или записи
Реклама #
DeeMon 2 года назад #
На одном из сайтов внедрил, работает отлично.
Спасибо.
Ждём, что будет в платной версии.
Викторыч 2 года назад #
Здравствуйте!
У меня на скачивание файла любого формата — страница 404. Я что-то упустил в настройках? И еще — при добавлении в список уже имеющихся файлов еще одного предыдущие исчезают из списка, как будто их и не было… *потыкаюсь еще, конечно, в настройках, но пока вот так.
Денис Васильевич 2 года назад #
Здравствуйте!
Перейдите по ссылке, скачайте обновление и установите по инструкции instantcms.ru/addons/versions/1093
Спасибо за наводку.
И потом напишите как всё работает
Def 2 года назад #
а что есть еще и платная версия?) сама задумка и по скринам очень достойно выглядит!
Денис Васильевич 2 года назад #
Ещё нету. Ещё видимо бесплатную предстоит отладить как следует.
Def 2 года назад #
как все заработает, дайте знайть, донат закину, так как на самом деле штука нужная и полезная! главное, чтобы и по безопасности и по скорости работы все было ОК:)
Loadырь 2 года назад #
А с этим ещё надо поработать
Алексей Т 2 года назад #
Не видно, а тут должна быть вплывалка? Посмотрел только через код на фото.
Def 2 года назад #
что это значит?:)
Loadырь 2 года назад #
Это значит, что текущую версию из каталога использовать не безопасно. Разве, что только на сайтах-форумах пенсионеров-огородников.
Денис Васильевич 2 года назад #
Мне тоже интересно что это. Если можно, в личку поясните подробнее.
DeeMon 2 года назад #
Тоже не понял. Воспроизвести не удалось...
Loadырь 2 года назад #
Стандартная XSS уязвимость. Пишем в названии картинки не «Картинка с котятами», а яваскрипт код и получаем на странице результат его действия. В данном случае это вывод в alert() кукисов пользователя, просматривающего страницу с этой картинкой.
Денис Васильевич 2 года назад #
Исправил. В основном архиве и в обновлении файлы обновил.
Loadырь 2 года назад #
Отлично. Как бороться с XSS вы научились. Осталось вам устранить загрузку фейковых картинок содержащих код скриптовых языков (js, php) внутри картинки. Хоть современные браузеры научились их корректно отображать не выполняя скрипты внутри картинки (кроме firefox — он не знает что это такое и что с ними делать, поэтому просто ломает их), но мало ли, вдруг вернут эту «фичу» в будущем. Затем проверить на sql-иньекции ваши download.php и upload.php и можно выпускать платную версию. Но дальше уже без меня. Тестируйте, изучайте, включайте в себе «режим дурачка» и подумайте, что ещё может сделать этот или подобный ему «дурак», чтобы навредить или получить данные используя ваш компонент и стройте «защиту» от этого «дурака». Почему именно «дурак», да потому, что нормальный человек не станет писать яваскрипты в заголовках к файлам. Нормальный человек не станет загружать файлы яваскриптов, меняя у них расширение с .js на .jpg. И самое главное — чем опытнее ваш «режим дурачка», тем безопаснее от таких как он ваш компонент.
Денис Васильевич 2 года назад #
Наверное код определения типа файла как изображения я могу позаимствовать из коробки. А вот как с другими файлами быть? Есть смысл подключать для этого спец библиотеку?
Loadырь 2 года назад #
Желательно вообще использовать системный загрузчик, если нет дополнительных требований. К тому же, желательно использовать стандартную таблицу cms_uploaded_files. Она почти дублирует вашу cms_upload_files, а все «доп. ячейки» приджойнить из вашей таблицы.
А что касается сторонних библиотек, то это вы вправе использовать на свой (или пользователей компонента) страх и риск. Главное, чтобы сторонние библиотеки не привнесли с собой вреда.
Денис Васильевич 2 года назад #
Или как вариант резрешить доступ к загрузки файлов только админу
Def 2 года назад #
Вообще такой компонент с безопасностью должной было бы отлично иметь в коробке, пусть даже как отдельный официальный компонент)
Может Fuze подскажет как довести его до ума?)
Loadырь 2 года назад #
Если делать с упором на то, что данное поле можно эксплуатировать только админам, то тогда надо делать, как я это называю — «защиту от дурака» — чтобы ни при каких условиях это поле не работало у тех, кто не админ. Не все админы догадаются, что данное поле можно использовать только админам.
Викторыч 2 года назад #
Скачивание после обновления файлов заработало! ) По некоторым моментам — написал в личку. Отличную штуку придумали, спасибо!
Starkiv 2 года назад #
Здравствуйте! Есть возможность сделать отображение презентаций (ppt, pptx) так же как документов и таблиц?
Спасибо!
Викторыч 1 год назад #
Денис Васильевич, будет ли доработан компонент?
В частности: 1. файлы удаляются при редактировании поста (или просто исчезают, пока не выяснил); 2. нет ограничения на общее добавление файлов к посту.
*это то, что меня интересует, в первую очередь...
Вынужден на время удалить компонент, но народ на сайте оценил, просит вернуть. ) Доработайте, пожалуйста! Нужная вещь! )
disc 8 месяцев назад #
Денис Васильевич здравствуйте. Не дайте пожалуйста компоненту умереть. Очень необходим. К сожалению на последней версии не работает!
Ошибка в запросе БД: Неизвестный столбец 'u1' в 'where clause'
UPDATE upload_files i SET `user_id` = '1', `target_id` = '38', `title` = NULL, `teaser` = NULL WHERE (i.path IN (000/u1/7/9/Photo-2563363.jpg