Старайтесь не посылать изображения на веб-сайты, не имеющие отношения к сайту.

Question

Я создал сайт, который будет автоматически генерировать некоторые графики в зависимости от разных аккаунтов.

Сначала я пытаюсь сгенерировать изображение (png) с соответствующим именем файла, затем отправить png на сервер и затем удалить png, когда сервер получает любые другие запросы get или post.

Однако при рассмотрении случая, когда имеется доступ пользователя B сразу после того, как автоматически генерируется график, изначально предназначенный для лица A. Граф может быть удален из-за того же имени файла и становится графомдля человека B, который затем посылает обоим (в моем понимании).

Итак, я пытаюсь сгенерировать разные имена файлов для png, сгенерированных для разных учетных записей.Тем не менее, другие учетные записи, хотя и могут не видеть png на веб-сайте, но они все же могут получить доступ к png других пользователей.Можно ли избежать отправки изображений нежелательным получателям на веб-сайте, используя этот механизм автоматической генерации PNG?

Извините за мой плохой английский.Большое спасибо!

Answer 1

Один из вариантов - сохранять имена файлов как можно более сложными, например, случайную строку из 32 символов (чем больше длина, тем больше безопасность), например,

we234fgt4lpx123cuyiedsd12cds345sd.png

Другим будет трудно угадать имена файлов, так как будет сложно угадать их комбинацию.

Вариант 2:

Если у вас есть доступ на основе входа в систему, вы можете использовать таблицу базы данных, в которой будут использоваться два столбца: 1. Имя файла & 2. SessionId .

Таким образом, каждый раз вы можете проверить, соответствует ли идентификатор сеанса зарегистрированного пользователя значению столбца «Столбец идентификатора сеанса». Если оба совпадения совпадают, то доступ только для пользователя.