php 自定义百度ue编辑器上传功能,并验证限制

已于 2024-03-12 10:45:34 修改
阅读量572 收藏
点赞数 14
文章标签: 编辑器 php
于 2024-03-08 10:51:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51957364/article/details/136555535
版权

最近接手了一个使用ue编辑器的tp项目,并发现了几起恶意上传事件,针对这一情况,做了一些简单优化限制。

未优化之前,百度ue编辑器的上传图片文件功能没有做验证限制,所以所有人都可以拿到上传地址进行随意上传,所以目前的优化方案是把ue编辑器默认的上传文件controller.php里面的内容复制到自定义方法里面,整理为一个可以验证用户是否登录等等的api接口,至于这个api接口放那个位置,就看你们自己了。

新增了单独获取域名的函数getUEBasePath1;


    function getUEBasePath1(docUrl, confUrl) {
        return document.location.origin;
    }

目前简单的优化只是为了防止编辑器的上传功能被滥用,如果有更好的办法,也欢迎各位大佬能够分享一下。

为了防止意外情况发生,可以在upload文件夹里面添加一个.user.ini文件,如果是使用的是宝塔,文件内容如下

open_basedir=项目路径/upload/:/tmp/:/proc/

添加.user.ini文件后还可以限制upload文件夹里面的脚本查看upload文件夹以外的文件信息。

如果运行环境是apcahe,可以在伪静态文件里面添加如下内容:

<IfModule mod_rewrite.c>
Options +FollowSymlinks -Multiviews
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php [L,E=PATH_INFO:$1]
RewriteRule upload/(.*).php$ – [F]
</IfModule>

如果是nginx环境,可在配置伪静态里面配置以下内容

location /upload {
  location ~ .*\.(php)?$ {
    deny all;
  }
}

配置完伪静态后,可以防止上传的图片转换成php脚本时,阻止其运行。

同理,出了图片文件夹以外,还可以配置如css、js等等文件夹。

后续如果有其他优化的地方,我还会继续更新。

cq林志炫
关注
  • 14
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
百度富文本编辑器ueditor上传图片宽高超范围问题
06-08
百度ueditor上传图片超范围后有两个问题,一是编辑器里图片显示不完整,二是添加图片后的网页在显示时也会超出网页不好看。想让它自适应100%,网上的方案能解决第一个问题,基本没有第二个问题的方案,经过多次测试,现提出如下解决办法,一并发出来。
百度UE编辑器上传图片添加水印功能
12-18
UEditor编辑器上传图片是自动提取的,但是图片没有水印功能,下面小编和各位一起来看看。 UEditor编辑器没有上传图片加水印的功能,需要进行二次开发,本例是在PHPCMS系统中对百度编辑器进行二次开发,添加上传图片加水印功能。 首先打开UEditor编辑器文件目录的php文件夹,打开Uploader.class.php,把PHPCMS添加水印的方法复制过来,加到这个类所有成员方法最后面,然后进行修改如下: //图片加水印 public function watermark($source, $target = '', $w_pos = '', $w_img = '', $w_text
百度ue php 怎么使用,PHP集成百度Ueditor 1.4.3
weixin_34697798的博客
03-12 286
最近很多群友都来问我怎么集成百度UE(ueditor 1.4.3),实在回答不过来,所以在这写一下集成百度UE的思路,本文内使用的最新版的UE1.4.3。下载安装这里我下载的是1.4.3PHP版本。下载你所使用的版本就行。解压文件到你的项目2.部署.在前端Html页面引入UE 所需的JS文件,然后使用getEditor 实例化这里写你的初始化内容var ue = UE.getEditor('co...
node.js集成百度UE编辑器
10-24
主要介绍了node.js集成百度UE编辑器方法,需要的朋友可以参考下
2024-06-10 Unity 编辑器开发之编辑器拓展10 —— 其他常见工具类
zheliku的博客
06-10 669
​ 例如,编辑器事件监听(播放、暂停等)、生命周期判断(是否运行中、暂停中、编译中)、编辑器进入播放模式、退出播放模式等等。​ AssetDatabase 是 Unity 引擎中的一个编辑器类,用于在编辑器环境中管理和操作项目中的资源(Assets)。​ 在编辑器相关处都可以使用 AssetDatabase,但它属于编辑器功能,无法被打包出去,只能在 Unity 编辑器中使用。​ AssetImporter(资源导入器)是特定资源类型的资源导入程序的基类,用于配置和管理资源的导入设置。
2024-06-07 Unity 编辑器开发之编辑器拓展8 —— Scene 窗口拓展
zheliku的博客
06-07 700
​ 通过添加监听事件,使自定义窗口能够监听 Scene 窗口的变化。[MenuItem"Unity 编辑器拓展/Lesson26/打开 Scene 拓展窗口"[ MenuItem("Unity 编辑器拓展/Lesson26/打开 Scene 拓展窗口") ] public static void OpenLesson26() {} }();win.Show();
1. NAS和SAN存储
u010198709的博客
06-13 296
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
Laravel学习-控制器
TO_Web的博客
06-09 323
意思是,在定义路由时不用定义指定方法了,他会自己找默认的方法。资源控制器,会默认把控制里的默认方法创建好。一. 创建创建控制器的命令。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 241
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 739
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
rce漏洞试试看 buuctf的pingpingping 试试ctf的rce怎么样
helloKittywz的博客
06-10 405
然后我们可以看看index.php来看这个题是过滤了哪些东西,进行总结,也了解了解。先开始我读取index.php这个文件就不能进行读取,我还以为语法出现了错误。到时候在来看看,看看\这个转义特殊字符的,也就是进行强制转换的。也就是上一条的命令的输出结果作为下一条命令的输入。分析一下过滤哪些东西,在源码中可以明确的看出,,也就是说我们要进行绕过,然后我们使用。不行的时候在试试看。直接去看看flag可以读取不?flag所以知道了flag被过滤了。ls来看看,我们来看看有哪些文件。的那篇博客中,然后我们进行。
CD工具AWX之作业模板与工作流模板
天草二十六
06-11 269
本文以php和h5项目为示例,讲述从初始化项目到更新发布的实现详情。它们跟java/go等进程程序不同,只需要下发.php等静态文件即可,不涉及进程的重启。对于php项目,除了php文件外,还包括.env配置文件。(需要根据不同环境的具体值进行修改)
Polar Web【困难】上传
AlanKSorata的博客
06-09 549
本题以文件上传为主线 —— .htaccess文件上传绕过的一种思路;反斜杠进行字符串截断并换行分割来实现字样绕过的方式.......
网络安全练气篇——PHP编程语言基础
weixin_55762309的博客
06-13 753
(外文名:PHP:Hypertext Preprocessor,中文名:“超文本预处理器”) 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用) 文档中去执行,执行效率比完全生成HTML标记的CGI要高许多,PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
站易WordPress
xiaoyuya
06-11 302
站易WordPress建站
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程
爱酷码的博客
06-10 243
最新大屏幕互动系统PHP源码 附动态背景图和配乐素材 含搭建教程。测试环境:Nginx+PHP7.0+MySQL5.6。
NSSCTF-Web题目7
weixin_54055099的博客
06-07 1097
NSSCTF部分题目
PHP简约轻型聊天室留言源码
最新发布
爱酷码的博客
06-13 81
修改在app.php文件里搜索admin更改,不要使用记事本打开修改。zhi进入管理模式,发送 clear 清空聊天记录。采用jquery+ajax轮询方式,适合小型聊天环境。数据使用txt存放,默认显示近50条聊天记录。无名轻聊是一款php+txt的轻型聊天室。请赋予txt文件修改写入权限。最新版本,面板可更换肤色!支持上传二级目录访问。
PHP错误处理:全面解析及最佳实践
NatLindsay的博客
06-11 308
根据错误的级别,我们可以选择适当的处理方式,例如中止脚本、记录错误日志或给用户显示友好的错误信息。本文将对PHP错误处理进行全面解析,并提供最佳实践,帮助开发人员更好地处理错误和异常,提高应用程序的质量和可维护性。等,我们可以根据不同的情况选择适当的异常类来表示和处理异常。函数,我们可以指定一个自定义的错误处理函数,用于捕获和处理错误。通过自定义错误处理函数,我们可以根据应用程序的需求进行灵活的错误处理。错误日志记录和监控可以帮助我们及时发现和解决潜在的问题,提升应用程序的稳定性和可靠性。
UE编辑器的代码片段功能
07-28
UE编辑器的代码片段功能是一项非常方便的功能,它允许开发者在编写代码时快速插入预定义的代码块。这些代码片段可以是常用的函数、类或其他代码结构,可以帮助开发者提高编码效率。 要使用代码片段功能,首先需要创建一个代码片段文件,通常使用XML或者JSON格式。在这个文件中,你可以定义多个代码片段,每个片段包含了代码的前缀、后缀以及具体的代码内容。 在UE编辑器中,你可以通过快捷键或者命令来触发代码片段的插入。当你输入代码片段的前缀时,编辑器会自动提示可用的代码片段,并且可以通过键盘上下键来选择需要插入的片段。一旦选择了片段,编辑器会将其插入到光标当前位置,并自动补全后缀。 代码片段功能可以极大地简化反复编写相似代码的工作,提高开发效率。同时,UE编辑器也提供了一些默认的代码片段,开发者可以根据自己的需求自定义和扩展这些片段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cq林志炫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值