Цитата (Jon @ 2010-02-13, 4:32)
Переименовывать токо админы могут, вроде бы как.
А еси злоумышленник получил доступ до админки - то всё, трындец. Можно обычный комментарий с шелл скриптом сделать.
Нет, речь идет не об админке. Uploader влегкую настраивается на переименование загруженных файлов для любой из групп, не только администраторов. Так что стоит в настройках сделать неверное действо - становятся доступными для загрузки скрипты. Вообщето я уже решил поставленную задачу.
Сам себе так сказать помог. Воткнул так называемый "костыль", один из тех которые жизнь всем отравляют. Но мне это помогло.
Собственно изменил файл eleanor_uploader.js
строка 171
var newname=prompt(el_lang['enter_new_name'],file_name);
полностью заменяется на три строки:
var file_name_extension = file_name.slice(file_name.lastIndexOf('.'));
var file_name_tilte = file_name.slice(0,file_name.lastIndexOf('.'));
var newname=prompt(el_lang['enter_new_name'],file_name_tilte)+file_name_extension;
Теперь для переименования доступно только имя файла. Расширение остается неизменным.
Я не понимаю почему этого нельзя было сделать в релизе, ведь это, ё-маё, реальная дыра в движке. Стоит разрешить переименование и трындец сайту.
Плюньте мне в глаз если я неправ.