phpScript Datei auswählen

Der Dialog ermöglicht die Auswahl einer Datei aus dem Filesystem des Servers (Durchsuchen-Funktion). Es kann ein Root-Verzeichnis mitgegeben werden, hinter das der Benutzer auch nicht zurückkommt. Zusätzlich wird eine wahlweise eine Dateiende mitgegeben (es geht nur ein konkreter Wert, kein Mustervergleich!).

Eine solche Auswahlfunktion auf dem Server ist potentiell gefährlich, weil sich der Benutzer durch direkte Aufrufe des Dialogs Zutritt zu Verzeichnissen verschaffen könnte, die außerhalb des ihm zugestandenen Navigationsbereiches liegen.

Das heißt, die Aufrufwerte dürfen nicht über die URL übermittelt werden. Andererseits ist eine Übergabe mit der POST-Methode natürlich nicht möglich, da der Aufruf ja mittels Javascript erfolgt. Deshalb wird zunächst ein anderes PHP-Script mit URL-Wertübergabe aufgerufen. Dieses Script schreibt die Daten in die Session und ruft dann den eigentlichen Auswahldialog auf. Da dieses Zwischenscript keine Ausgabe hat, bleiben die übergebenen Werte dem Benutzer verborgen. Darüber hinaus kann er nicht den Auswahldialog mit eigenen Vorgabewerten aufrufen.

Wichtig dabei ist, dass der Benutzer den Namen des Zwischenscripts nicht kennt. Sie sollten daher in Ihrer Anwendung den Namen „rks-fileopen-hidden.php“ einschließlich dem Aufruf in der „auswahl.js“ unbedingt ändern. Sorgen Sie dafür, dass „rks-fileopen-hidden.php“ nicht mehr existiert, sonst wären damit weiterhin unkontrollierte Aufrufe möglich.

Sie benützen dieses Script grundsätzlich auf eigene Gefahr.

Zurück