|
Не знаю, что они там имели ввиду, но если на приемке не проверять файл на соответствие типу и формату (НЕ ТОЛЬКО ПО РАСШИРЕНИЮ!!!), то конечно, проблем не оберешься.
В частности я разбирал один из плагинов файлового менеджера (соль именно в ajax'е, а не поведени php), но там была проверка загружаемой картинки средствами php (gd2) на размер, что бы убедиться, что это действительно рисунок. А многие либо вообще не поставляют загрузчик на php, либо ограничиваются в нем копированием $_FILES без каких-то проверок на корректность загрузки. И таких большинство.
Второе - в обработчике на приемку можно забыть поставить проверку прав текущего пользователя на загрузку, третье - ооочень неплохо положить в папку с загруженными файлами htaccess, запрещающий выполнение php.
Так что если бездумно действовать, то накосячить можно как с плагинами и библиотеками, так и без них.
|