php 自定义百度ue编辑器上传功能,并验证限制

已于 2024-03-12 10:45:34 修改
阅读量673 收藏
点赞数 14
文章标签: 编辑器 php
于 2024-03-08 10:51:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51957364/article/details/136555535
版权
文章讲述了作者在接手项目中发现ue编辑器的上传功能存在漏洞,通过复制默认控制器并创建验证API接口,结合使用.getUEBasePath1函数,以及在服务器上设置open_basedir、伪静态规则等手段,对上传功能进行安全优化,防止恶意上传和脚本攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近接手了一个使用ue编辑器的tp项目,并发现了几起恶意上传事件,针对这一情况,做了一些简单优化限制。

未优化之前,百度ue编辑器的上传图片文件功能没有做验证限制,所以所有人都可以拿到上传地址进行随意上传,所以目前的优化方案是把ue编辑器默认的上传文件controller.php里面的内容复制到自定义方法里面,整理为一个可以验证用户是否登录等等的api接口,至于这个api接口放那个位置,就看你们自己了。

新增了单独获取域名的函数getUEBasePath1;


    function getUEBasePath1(docUrl, confUrl) {
        return document.location.origin;
    }

目前简单的优化只是为了防止编辑器的上传功能被滥用,如果有更好的办法,也欢迎各位大佬能够分享一下。

为了防止意外情况发生,可以在upload文件夹里面添加一个.user.ini文件,如果是使用的是宝塔,文件内容如下

open_basedir=项目路径/upload/:/tmp/:/proc/

添加.user.ini文件后还可以限制upload文件夹里面的脚本查看upload文件夹以外的文件信息。

如果运行环境是apcahe

最低0.47元/天 解锁文章
百度ueditor编辑器图片、文件、视频直接上传到阿里云oss
那记忆搁浅的博客
03-19 5575
最近开发的项目中要求要把图片文件等都直接上传到阿里云,不放在服务器上。 好吧,说了就开干。 1、修改uploader.class.php,修改的地方我标红了(添加了一下注释。。然后代码模板背景色全变黑色了。。标红的样式全不见了,自己对比一下代码哈) 由于ueditor是第三方的插件,里面的uploader.class.php不是框架里的东西,所有使用命名空间直接引用是引用不到oss的类的,...
UEditor漏洞
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中,且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器。
实战纪实 | 编辑器漏洞之Ueditor-任意文件上传漏洞 (老洞新谈)
热门推荐
zkaqlaoniao的博客
04-12 2万+
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候没有对远程文件的格式进行严格的过滤与判断。
百度ue php 怎么使用,PHP集成百度Ueditor 1.4.3
weixin_34697798的博客
03-12 335
最近很多群友都来问我怎么集成百度UE(ueditor 1.4.3),实在回答不过来,所以在这写一下集成百度UE的思路,本文内使用的最新版的UE1.4.3。下载安装这里我下载的是1.4.3PHP版本。下载你所使用的版本就行。解压文件到你的项目2.部署.在前端Html页面引入UE 所需的JS文件,然后使用getEditor 实例化这里写你的初始化内容var ue = UE.getEditor('co...
网页编辑器中的佼佼者:百度UE如何实现图文混排?
最新发布
2501_90646449的博客
03-28 935
要求:开源,免费,技术支持编辑器百度ueditor前端:vue2,vue3,vue-cli,react,html5用户体验:Ctrl+V快捷键操作功能:导入Word,导入Excel,导入PPT(PowerPoint),导入PDF,复制粘贴word,导入微信公众号内容,web截屏平台:Windows,macOS,Linux,RedHat,CentOS,Ubuntu,中标麒麟,银河麒麟,统信UOS,信创国产化系统。
记录一下使用ueditor编辑器配置出现的问题
qq_38734144的博客
08-06 342
结果出现了如下图的报错 因为在使用Ueditor1.4.3.3时,按照官方文档指导,后端配置只跟ueditor.config.js和config.json这个有关,只需要配置好"imageUrlPrefix"这个和 var URL = " " || getUEBasePath();这个就可以了,而这两个地方其实最好采用域名+目录的完整路径,我在开始的时候,由于是别人的项目,项目名跟他不同,导致...
ueditor getshell漏洞重现及分析
weixin_30681121的博客
12-07 1364
0x00 概述 8月21日,网上爆出ueditor .net版本getshell漏洞,由于只校验ContentType而没校验文件后缀导致getshell。 0x01 漏洞重现 Payload: <formaction=”http://www.xxx.com/controller.ashx?action=catchimage”enctype=”application/x-w...
(2)关于uediter内置的方法
zhangguoliang12309的博客
12-11 515
大家在用uediter的时候往往不知道怎样去调用uediter插件中的内容或者操作一些方法,下面为一些常用的方法,在html中的js中直接调用即可。<body> <div> <h1>完整demo</h1> <script id="editor" type="text/plain" style="width:1024px;height:500px;"></script> </div>
yii1的百度编辑器
11-19
百度编辑器UEditor)则是一款流行的开源富文本编辑器,具有丰富的功能和良好的用户体验。本文将详细介绍如何在Yii1框架中集成和使用百度编辑器。 首先,让我们理解Yii1框架的基础。Yii1是一个面向对象、高性能...
富文本编辑器怎么限制图片大小
01-14
对于不同类型的富文本编辑器,实现上传图片大小限制的方法有所不同。以下是几种常见富文本编辑器中的解决方案。 #### fastAdmin编辑器(Summernote) 为了限制上传至 Summernote 的图片文件大小,在 `...
百度编辑器二次开发指南】:打造个性化编辑器的独家秘籍
![【百度编辑器二次开发指南】:打造个性化编辑器的独家秘籍]...本文对百度编辑器进行了基础概览及定制化分析,深入探讨了编辑器框架结构和核心组件,强调了自定义配置和模块化设计的重要性。实
Ueditor编辑器任意文件上传漏洞
m0_51468027的博客
07-30 1万+
一文学习Ueditor编辑器任意文件上传漏洞(部署环境到漏洞复现)
ue编辑器漏洞_CVE-2017-14323
weixin_39638859的博客
12-21 428
# SSRFPS"Server Side Request ForgeryPS(c) in Onethink All version (CVE-2017-14323)The Onethink is an open source CMS(Content Management System).This system is based on the Thinkphp3.2 development fra...
技术分享-ueditor漏洞利用&源码分析超详细分析 (2)
logic1001的博客
02-22 1063
ueditor的漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传功能且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
ue编辑器漏洞_7. 编辑器漏洞整理
weixin_39902085的博客
12-21 347
1.常见的编辑器常见的有Ewebeditor,fckeditor,ckeditor,kindeditor等等。这里有份编辑器漏洞手册:2.Ewebeditor编辑器Ewebeditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件(如:Word)所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框,使最终用户可以可视化...
在使用UEditor时出现的路径问题
sinat_38708970的博客
10-05 1万+
调用ueditor需要先引入3个js, &lt;script type="text/javascript" charset="utf-8" src="${pageContext.request.contextPath}/ueditor/ueditor.config.js"&gt;&lt;/script&gt;     &lt;script type="text/javascript" c
百度编辑器安全漏洞及其防护措施
极客神殿
08-10 2672
跟老赵头儿学开发之十四 : 百度编辑器安全漏洞及其防护措施 百度编辑器UEditor 是一套开源的在线html编辑器,它是由百度web前端研发部开发的所见即所得的富文本web编辑器,开发人员可以用 UEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本框。 UEditor既可以录入文本也可以上传图片,还可以支持自定义的html编写,支持电脑端及移动端,自适应页面,图片也可...
SSM+UEditor(百度编辑器)
阿凯的专栏
01-29 8020
1.本文是自己无聊搭建项目,请支持原文作者。 http://download.youkuaiyun.com/download/wk2197727/10229169 框架:ssm+druid 前台:layui+UEditor 功能:图片本地上传,(还有上传其他七牛等云服务器的,如需帮助收费,哈哈。此demo只做简单的本地图片保存) 注意点: 第一个点:  enctype="mu
vue组件化百度编辑器(flask后端)
a976134036的博客
07-20 581
1.下载百度编辑器(我用的是utf8-php版) 地址:http://ueditor.baidu.com/website/download.html 2.将文件解压放到static文件中,修改ueditor.config.js文件 var URL = '/static/utf8-php/' || getUEBasePath(); 3.在入口文件main.js中引入 import...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cq林志炫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值