Я создал простое управление файлами для пары пользователей.
Структура: у каждого пользователя есть карта в каталоге uploads
, как показано ниже:
uploads/john/-->files inside
uploads/bill/-->files inside
Для удаления файлов я использую эту форму "
<form class="sfmform" method="post" action="">
<input type="hidden" name="deletefile" value="<?php echo $dir.'/'.$file">
<input type="submit" class="sfmdelete" name="delete" value="Delete">
</form>
var $dir.'/'.$file
показывает мне точное местоположение файла, например:
uploads/john/cat.jpg
Допустим, я Джон и я знаю, что имя другого - Билл .
И я предполагаю, что bill также имеет файл в своем файле, который называется dog.jpg
Я открываю инспектор браузера для удаления файла в моей собственной папке, и я изменяю значение скрытой формы ввода uploads/john/cat.jpg
на uploads/bill/dog.jpg
и нажимаю на удаление, я действительно удалил изображение собаки из счета его папки .
Как я могу защитить этот вид манипуляций через инспектор браузера?