Файлы free

+15
887
Файлы free

Бесплатная версия компонента Файлы, имеющая базовый функционал для загрузки и просмотра файлов. Эта версия предназначена для загрузки файлов к записям типов контента.

Изображение

Особенности функционала

— Есть настройки для отображения и редактирования
— Пакетная аякс загрузка файлов
— Свободное перемещение файлов по списку файлов
— Предпросмотр файлов популярных форматов
— Удаление файлов при удалении поля или записи

+1
DeeMon DeeMon 1 месяц назад #

На одном из сайтов внедрил, работает отлично.
Спасибо.
Ждём, что будет в платной версии.

+1
Викторыч Викторыч 1 месяц назад #

Здравствуйте! 

У меня на скачивание файла любого формата — страница 404. Я что-то упустил в настройках? И еще — при добавлении в список уже имеющихся файлов еще одного предыдущие исчезают из списка, как будто их и не было… *потыкаюсь еще, конечно, в настройках, но пока вот так.

0
Денис Васильевич Денис Васильевич 1 месяц назад #

Здравствуйте!

Перейдите по ссылке, скачайте обновление и установите по инструкции addons.instantcms.ru/addons/versions/1093

Спасибо за наводку.

И потом напишите как всё работает

+1
Def Def 1 месяц назад #

а что есть еще и платная версия?) сама задумка и по скринам очень достойно выглядит!

0
Денис Васильевич Денис Васильевич 1 месяц назад #

Ещё нету. Ещё видимо бесплатную предстоит отладить как следует.

0
Def Def 1 месяц назад #

как все заработает, дайте знайть, донат закину, так как на самом деле штука нужная и полезная! главное, чтобы и по безопасности и по скорости работы все было ОК:)

+4
Loadырь Loadырь 1 месяц назад #

главное, чтобы и по безопасности

А с этим ещё надо поработать

Изображение

0
Алексей Т Алексей Т 1 месяц назад #

Не видно, а тут должна быть вплывалка? Посмотрел только через код  на фото.

0
Def Def 1 месяц назад #

что это значит?:)

+5
Loadырь Loadырь 1 месяц назад #

Это значит, что текущую версию из каталога использовать не безопасно. Разве, что только на сайтах-форумах пенсионеров-огородников.

0
Денис Васильевич Денис Васильевич 1 месяц назад #

Мне тоже интересно что это. Если можно, в личку поясните подробнее.

0
DeeMon DeeMon 1 месяц назад #

Тоже не понял. Воспроизвести не удалось...

+2
Loadырь Loadырь 1 месяц назад #

Стандартная XSS уязвимость. Пишем в названии картинки не «Картинка с котятами», а яваскрипт код и получаем на странице результат его действия. В данном случае это вывод в alert() кукисов пользователя, просматривающего страницу с этой картинкой.

+5
Денис Васильевич Денис Васильевич 1 месяц назад #

Исправил. В основном архиве и в обновлении файлы обновил.

+8
Loadырь Loadырь 1 месяц назад #

Отлично. Как бороться с XSS вы научились. Осталось вам устранить загрузку фейковых картинок содержащих код скриптовых языков (js, php) внутри картинки. Хоть современные браузеры научились их корректно отображать не выполняя скрипты внутри картинки (кроме firefox — он не знает что это такое и что с ними делать, поэтому просто ломает их), но мало ли, вдруг вернут эту «фичу» в будущем. Затем проверить на sql-иньекции ваши download.php и upload.php и можно выпускать платную версию. Но дальше уже без меня. Тестируйте, изучайте, включайте в себе «режим дурачка» и подумайте, что ещё может сделать этот или подобный ему «дурак», чтобы навредить или получить данные используя ваш компонент и стройте «защиту» от этого «дурака». Почему именно «дурак», да потому, что нормальный человек не станет писать яваскрипты в заголовках к файлам. Нормальный человек не станет загружать файлы яваскриптов, меняя у них расширение с .js на .jpg. И самое главное — чем опытнее ваш «режим дурачка», тем безопаснее от таких как он ваш компонент.

0
Денис Васильевич Денис Васильевич 1 месяц назад #

Наверное код определения типа файла как изображения я могу позаимствовать из коробки. А вот как с другими файлами быть? Есть смысл подключать для этого спец  библиотеку?

0
Loadырь Loadырь 1 месяц назад #

Желательно вообще использовать системный загрузчик, если нет дополнительных требований. К тому же, желательно использовать стандартную таблицу cms_uploaded_files. Она почти дублирует вашу cms_upload_files, а все «доп. ячейки» приджойнить из вашей таблицы.

А что касается сторонних библиотек, то это вы вправе использовать на свой (или пользователей компонента) страх и риск. Главное, чтобы сторонние библиотеки не привнесли с собой вреда.

0
Денис Васильевич Денис Васильевич 1 месяц назад #

Или как вариант резрешить доступ к загрузки файлов только админу

0
Def Def 1 месяц назад #

Вообще такой компонент с безопасностью должной было бы отлично иметь в коробке, пусть даже как отдельный официальный компонент)
Может Fuze подскажет как довести его до ума?)

+2
Loadырь Loadырь 1 месяц назад #

Если делать с упором на то, что данное поле можно эксплуатировать только админам, то тогда надо делать, как я это называю — «защиту от дурака» — чтобы ни при каких условиях это поле не работало у тех, кто не админ. Не все админы догадаются, что данное поле можно использовать только админам.

+3
Викторыч Викторыч 1 месяц назад #

Скачивание после обновления файлов заработало! ) По некоторым моментам — написал в личку. Отличную штуку придумали, спасибо!

0
Starkiv Starkiv 3 дня назад #

Здравствуйте! Есть возможность сделать отображение презентаций (ppt, pptx) так же как документов и таблиц?

Спасибо! 

Еще от автора

Обновление 2 и 3 для шаблона Blogger
Добавлены настройки, шаблоны. Внесены исправления.
Шаблон NextModern
Многофункциональный шаблон для любого типа сайта.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.