Поставил сторонний компонет "Биржа труда", заметил одну неприятную особенность: пользователь может вместо картинки к вакансии/резюме запросто загрузить любой файл!!! (нет проверки).
Ну я ради любопытства попробовал сделать то же самое в стандартных компонентах (каталог, объявления) и… почему то php файл загрузился! Странно, а в админке сайта к загрузке разрешены только картинки.
Объясните или я чего-то не понимаю, или нет проверки перед загрузкой.
Если нет проверки, то как её сделать чтоб разрешил допустим JPEG, GIF, PNG и всё на остальное бы пользователю выводилась бы ошибка, типа нельзя такой файл грузить.
#1
6 августа 2012 в 06:57
#2
6 августа 2012 в 11:27
В доске попробовал воспроизвести, ошибку не показало, но на сервере этот файл я не нашел.
#3
6 августа 2012 в 11:32
Вот я и говорю, мутная ситуация, то-ли загружает, то-ли нет, я правда на Денвере пробовал.
Сегодня в 11:12
#4
6 августа 2012 в 11:37
Ну я ради любопытства попробовал сделать то же самое в стандартных компонентах (каталог, объявления) и… почему то php файл загрузился! — и вы их нашли на сервере??
#5
6 августа 2012 в 11:40
Врать не буду не искал (надо проверить папки), но мне почему-то кажется правильно было бы чтоб в такой ситуации пользователю выводилось бы сообщение что-то типа "Нельзя такое загружать не разрешено!"