阿土伯
|
场景: 在论坛或者投稿中上传附件,然后又删除附件,这个时候把删除的URL拦截住,修改附件ID,重新提交, 把别人的附件也给删除了
例如: POST: http://..../file-delete-210.html 其中210是附件ID,把他改成其他的ID也能执行删除操作
期望 结果: 能够判断要删除的附件是当前文章的,或者在新文章的时候判断附件是我自己上传的
|
纪鲁
|
建议暂时关闭投稿和前台用户的附件功能,后台-设置-安全-附件 也可以去system/config/front.php里删除$config->rights->member['reply']['deletefile'] = 'deletefile'; 禁用前台用户的附件删除功能 |