你在这里

文件上传、下载与管理

原文链接: http://drupal.org/node/117054

[本节是一个进展中的工作]

Nutshell的忠告

允许用户在管理您的服务器上的文件是一种有潜在危险的操作。

您需要确保用户不能

  • 查看任意文件。
  • 删除任意文件。
  • 覆盖 '重大' 的文件。
  • 上载和执行任意文件。
  • 完全填充设备 (或磁盘配额)。

请注意,"任意"是指"在服务器上的任何文件"。因此,例如,如果限制到他们,然后在"files"目录中的文件不是任意。但如果用于写入文件的代码允许用户以某种方式影响的文件路径,然后他们可以插入"../../"到的文件名将获得它背出的"files/"目录和到服务器上其他目录。

参见: File Permissions and Ownership For Security