Вывести аватар по прямому урлу

[AlexOo]

Всем привет.

Пользовательские авараты лежат в папке /images/avatars/upload/ и имеют стремные названия, из серии 2ae4f5f63e37f45d9de551aeb203db7a_191.jpg, где 191 - это ID пользователя в базе.

Подскажите пожалуйста:
1. Есть ли возможно упростить названия файлов с аватарками по типу <ID>.<Расширение_файла>
2. Подтянуть в шаблон аватарку по прямому урлу, из серии site.ru/images/avatars/upload/191.jpg

Спасибо.

P.S. И чисто из любопытства, зачем в именах файлов прописывается это мракобесие "2ae4f5f63e37f45d9de551aeb203db7a_"? Неужели из коробки было сложно просто оставить ID, ведь на проекте не может быть 2х пользователей с одним ID и так же не может быть у пользователя более 1 аватара.

Выговорился )))

[Nekstati]

1. Бессмысленное действие.

2.
Удалить images/avatars/upload/.htaccess или соотв. строки в конфиге Nginx, если они есть (запрещающие доступ к папке с аватарами)
Открыть includes/functions.php
Найти

Код: Выделить всё

if ($lazy)

Добавить перед

Код: Выделить всё

		if ($row['avatar_type'] == 'avatar.driver.upload') {
			$ext		= substr(strrchr($row['avatar'], '.'), 1);
			$stamp		= (int) substr(stristr($row['avatar'], '_'), 1);
			$filename	= strtok($row['avatar'], '_');
			$avatar_data['src'] = "{$user->page['root_script_path']}images/avatars/upload/{$config['avatar_salt']}_$filename.$ext?$stamp";
		}

[AlexOo]

Nekstati,

1. Почему бессмысленное ? Зная ID пользователя можно просто условием "if ... to ... else" вывести аватарку, просто сравнивая ID пользователя и имя аватары
2. Без правок ядра я так понимаю никак ?

[Татьяна5]

Зная ID пользователя можно просто условием "if ... to ... else" вывести аватарку, просто сравнивая ID пользователя и имя аватары

Обычно там, где есть id, бывают и аватары, за редким исключением

[AlexOo]

Татьяна5, давайте возьмем для примера ваш аватар на данном проекте. Он открывается по адресу
/download/file.php?avatar=38225_1392640473.gif

Если посмотреть оригинальное имя в папке /images/avatars/upload/, то там вероятнее всего будет что-то из серии
ae4f5f63e37f45d9de551aeb203db7a_38225.gif

Так зачем усложнять, если можно его вывести по адресу

/images/avatars/upload/38225.gif

Я просто не очень улавливаю логику. Возможно сможете пролить свет на все это добро ...

[Татьяна5]

Так зачем усложнять

Для безопасности
Сейчас известных уязвимостей нет, но нельзя исключить, что появится новая, и что встроена она будет в картинку (как уже не раз было). Без прямого доступа к файлам в том случае загруженный файл всё равно запустить не удастся, а описанный подход требует открытия именно прямого доступа

[AlexOo]

Убедили. Но не проще ли этот вопрос решать в моменте загрузки авы на сервер, чтобы не городить подобный огород ?

[Татьяна5]

AlexOo, он и решается в том моменте. Работает против известных подходов. А против неизвестных?

[Nekstati]

2. Без правок ядра я так понимаю никак ?

А чего все их так боятся? Это же не ядро ОС, которое потом надо компилировать с 100-й попытки.

Если хотите, пишите расширение, там есть подходящий event.

Убедили

А меня не убедили. Весь мир (Wordpress, например) отдаёт файло по прямым ссылкам и не парится, а здесь какая-то абстрактная перестраховка. Которая, между прочим, жрёт ресурсы. Каждая аватара дёргает всю машинерию форума с базой данных, расширениями и т.д.

[ReXtor]

Весь мир (Wordpress, например) отдаёт файло по прямым ссылкам и не парится, а здесь какая-то абстрактная перестраховка.

Именно поэтому у phpBB нет известных уязвимостей, не так ли?

Отправлено спустя 2 минуты 56 секунд:

А чего все их так боятся?

Весьма странно слышать про правки ядра от "Поддержки" о_О

[Nekstati]

ReXtor, если поддержка в вашем представлении состоит в том, чтобы на каждый чих писать новое расширение, то никакая поддержка писать его, разумеется, не будет. Писать его будет сам пользователь. Ну или платить писателю. Поддержка тогда лишается всякого смысла - готовые расширения можно искать через Гугл, а новые заказывать на биржах.

[ReXtor]

на каждый чих писать новое расширение

На каждый чих лезть в ядро - тоже такое себе. Загоняем сами себя в угол ведь. Вроде уже проходили проблему "ручных" правок в прошлых версиях с модами...

[Татьяна5]

Wordpress, например

Взламывается даже мимопроходящими школьниками. Сама была тому свидетелем

[southklad]

1. Бессмысленное действие.

Дико плюсую, тут бы пользователей удержать на форуме

[Michel]

А чего все их так боятся? Это же не ядро ОС, которое потом надо компилировать с 100-й попытки.

Ну тут вопрос стоит совсем иначе. Сайт на много важнее. Это публичная деятельность. Где если подменят платёжную систему на сайте или более того получат доступ к личным данным пользователей, мало не покажется. Ядро операционной системы покажется детским лепетом.

Взламывается даже мимопроходящими школьниками. Сама была тому свидетелем

Именно поэтому уже столько лет дружу с PHPBB.

Именно поэтому у phpBB нет известных уязвимостей, не так ли?

+100500