Veno-File-Manager (VFM4)云盘,添加仅限游客和用户访问公共目录
功能概述:
1.添加游客和所有用户都可以访问的公共目录(public_dirs),所有用户只有读取权限,不能编辑与删除目录和文件。
2.添加仅限用户访问的公共目录(user_read_dirs),游客无权访问,所有用户只有读取权限,不能编辑与删除目录和文件。
已实现功能:
1.游客和登录用户,对公共目录(public_dirs)内的文件,有查看、分享和下载权限(需后台开启相关权限)。
2.游客和登录用户,对公共目录(public_dirs)内的文件,没有编辑、移动、复制、删除等权限。
3.游客和登录用户,能列表显示公共目录(public_dirs)及子目录内容。
4.登录用户,显示用户私有文件夹,并且有读写权限(需后台开启相关权限)。
5.游客身份,只能查看、分享和下载公共文件夹内容,无权查看用户私有文件夹(目录)。
6.游客和登录用户,能显示根目录下的所有文件,官方程序没有此功能。
7.增加一个仅限所有登录用户只读可公共目录(user_read_dirs),游客无权查看此目录。
8.登录用户,对公共目录(public_dirs)内的文件和用户只读可公共目录(user_read_dirs),没有更名、编辑和删除权限。
9.超级管理员(superadmin)对所有目录和文件夹,都有更名、编辑、移动、复制、删除等权限。
解决方法:
1.新增游客公共目录(public_dirs)数组和用户只读公共目录(user_read_dirs)配置
打开 根目录/vfm-admin/config-master.php 文件,新添一个 'public_dirs'数组配置参数,代码如下:
- 'public_dirs' =>
- array (
- 0 => 'public',
- 1 => '游客只读公共目录',
- ),
- 'user_read_dirs' =>
- array (
- 0 => 'user_read_dirs',
- 1 => '用户只读公共目录',
- ),
2.为游客公共目录(public_dirs)和用户只读公共目录(user_read_dirs)设置相应类中成员方法
打开 根目录/vfm-admin/class/class.location.php 文件,参考类中成员方法 editAllowed() 代码,新添 readtAllowed() 成员方法,代码如下:- /**
- * 检查是否允许读取当前目录,
- * based on configuration settings
- *
- * @param string $relative relative path to index.php
- *
- * @return true/false
- */
- public function readAllowed($relative = false)
- {
- global $setUp;
- $totdirs = count($this->path);
- $father = $this->getDir(false, true, false, $totdirs -1);
- $hidden_dirs = $setUp->getConfig('hidden_dirs');
- if (!$hidden_dirs) {
- return false;
- }
- if (in_array(basename($father), $hidden_dirs)) {
- return false;
- }
- if ($this->checkPublicDir($relative) === true) {
- return true;
- }
- return false;
- }
- /**
- * 检查目录是否可供用户使用
- *
- * @param string $relative relative path to index.php
- *
- * @return true/false
- */
- public function checkPublicDir($relative = false)
- {
- global $gateKeeper;
- global $setUp;
- $thispath = $this->getDir(true, false, false, 0, $relative);
- if (!is_dir(realpath($thispath))) {
- return false;
- }
-
- $startdir = $setUp->getConfig('starting_dir');
- $publicdirsarray = $setUp->getConfig('public_dirs') !== null ? $setUp->getConfig('public_dirs') : array();
- $thiscleanpath = ltrim($thispath, './');
- $cleanstartdir = rtrim(ltrim($startdir, './'), '/');
- $thispatharray = explode('/', $thiscleanpath);
- $checkpath = $thispatharray[0] === $cleanstartdir && strlen($cleanstartdir) ? $thispatharray[1] : $thispatharray[0];
- $pathcounter = $thispatharray[0] === $cleanstartdir && strlen($cleanstartdir) ? (int)2 : (int)1;
-
- //检查分配的多个公共目录'public_dirs'文件夹
- foreach ($publicdirsarray as $value) {
- //检查是否分配了子/子文件夹
- $userdirarray = explode('/', $value);
- $usersubs = count($userdirarray) - 1;
- if ($usersubs > 0) {
- $subscounter = $usersubs + $pathcounter;
- for ($i = $pathcounter; $i < $subscounter; $i++) {
- $checkpath .= '/'.$thispatharray[$i];
- }
- }
- //最后,检查用户是否可以访问该位置
- if ($value === $checkpath) {
- return true;
- }
- }
-
- /* 检查当前路径是否根目录,是返回真,如果运行此段代码,根目录下所有文件后子目录都显示,包括用户私有文件夹;
- 如果注释掉此段代码,可实现根目录下只显示公共目录,无权查看用户私有目录,但是根目录下的所有文件也不显示。 */
- // $thispath = $this->getDir(true, false, false, 0);
- // if ($thispath === $setUp->getConfig('starting_dir')) {
- // return true;
- // }
- return false;
- }
3.修改前端显示UI代码,让游客和登录用户显示公共目录(public_dirs)和根目录(starting_dir)中的文件
打开根目录 vfm-admin/template/list-files.php 文件,把条件判断语句改为如下格式:- $getDir = $location->getDir(true, false, false, 0, false);
- $cleangetDir = rtrim(ltrim($getDir, './'), '/');
- $startdir = './'.$setUp->getConfig('starting_dir');
- $cleanstartdir = rtrim(ltrim($startdir, './'), '/');
- if ($gateKeeper->isAccessAllowed()){
- if( $location->editAllowed()
- || $location->guestReadtAllowed()
- || $location->userReadtAllowed()
- && $gateKeeper->isUserLoggedIn()
- || $cleangetDir === $cleanstartdir) {
- if ($gateKeeper->isAllowed('view_enable'))
- {
- 列表显示文件代码 }
- 显示上传文件功能区块代码 }
- }
解决浏览公共目录(user_read_dirs)下文件时时,“多选操作”菜单中仍显示移动、复制和删除按钮的问题;解决PC列表模式下显示公共目录(user_read_dirs)下文件时时,表格仍显示重命名和删除列的问题;
解决方法详见:http://www.admin365.cn/thread-46442-1-1.html(Veno-File-Manager (VFM4)云盘,增加用户只读游客无权限公共目录)
4.修改ajax请求代码,使游客和登录用户能获取到公共目录(public_dirs)和根目录(starting_dir)中的文件
打开根目录 /vfm-admin/ajax/get-files.php 文件,查找如下代码:
- if ($gateKeeper->isAccessAllowed() && $location->editAllowed('../../') && $gateKeeper->isAllowed('view_enable'))
- {
- $fullpath = $location->getFullPath();
- ...
- }
- $cleanlocdir = rtrim(ltrim($locdir, './'), '/');
- $startdir = './'.$setUp->getConfig('starting_dir');
- $cleanstartdir = rtrim(ltrim($startdir, './'), '/');
- if ($cleanlocdir === $cleanstartdir
- || $gateKeeper->isAccessAllowed()
- && $location->guestReadtAllowed('../../')
- || $location->editAllowed('../../')
- || $location->userReadtAllowed('../../')
- && $gateKeeper->isAllowed('view_enable')) {
- $fullpath = $location->getFullPath();
- ...
- }
解决平铺视图模式下显示公共目录(user_read_dirs)下文件时时,在文件右上角显示重命名和删除按钮问题;
解决PC浏览器打开公共目录(user_read_dirs)时,在文件列表右侧显示重命名和删除按钮问题;
解决手机端打开公共目录(user_read_dirs)时,在文件列表右侧显示重命名和删除按钮问题;
解决方法详见:http://www.admin365.cn/thread-46442-1-1.html(Veno-File-Manager (VFM4)云盘,增加用户只读游客无权限公共目录)
5.修改文件夹类,把公共目录(public_dirs)添加进用户目录
打开 根目录/vfm-admin/class/class.dirs.php 文件,查找数组变量 $userpatharray ,代码如下:- $userpatharray = $gateKeeper->getUserInfo('dir') !== null ? json_decode($gateKeeper->getUserInfo('dir'), true) : false;
把公共目录(public_dir)添加进去$userpatharray数组中,修改后代码为:
- $userpatharray = $gateKeeper->getUserInfo('dir') !== null ? json_decode($gateKeeper->getUserInfo('dir'), true) : false;
- $public_dirs = $setUp->getConfig('public_dirs');
- @$userpatharray = array_merge($userpatharray,$public_dirs);
再查找仅获取用户分配的文件夹(如果有)遍历语句,增加一个 && !$this->location->readAllowed($relative) 条件,修改后如下:
- if (is_array($content)) {
- foreach ($content as $item) {
- if (is_dir($item)) {
- $mbitem = Utils::mbPathinfo($item);
- $item_basename = $mbitem['basename'];
- // get only users' assigned folders if any
- if ($userpatharray
- && !in_array($item_basename, $userpatharray)
- && !$this->location->editAllowed($relative)
- && !$this->location->readAllowed($relative)) {
- continue;
- }
-
- // Skip /vfm-admin/ if the main uploads dir is the root
- if (!$hidefiles || ($hidefiles && !in_array($item_basename, $hidden_dirs))) {
- $this->dirs[] = new Dir($item_basename, $this->location, $relative);
- }
- }
- }
- }
6.为游客设置可查看公共目录(public_dirs)目录方法
打开 主目录/vfm-admin/class/class.gatekeeper.php文件,查找 getUserInfo($info) 函数,大概在257行左右,代码如下:
- /**
- * Get user info ('name', 'role', 'dir', 'email')
- *
- * @param int $info index of corresponding user info
- *
- * @return info requested
- */
- public function getUserInfo($info)
- {
- if ($this->isUserLoggedIn()
- && isset($_SESSION['vfm_user_name'])
- && strlen($_SESSION['vfm_user_name']) > 0
- ) {
- $username = $_SESSION['vfm_user_name'];
- $curruser = $this->getCurrentUser($username);
- if (isset($curruser[$info]) && strlen($curruser[$info]) > 0) {
- return $curruser[$info];
- }
- }
- return null;
- }
- /**
- * Get user info ('name', 'role', 'dir', 'email')
- *
- * @param int $info index of corresponding user info
- *
- * @return info requested
- */
- public function getUserInfo($info)
- {
- global $setUp;
- if ($this->isUserLoggedIn()
- && isset($_SESSION['vfm_user_name'])
- && strlen($_SESSION['vfm_user_name']) > 0
- ) {
- $username = $_SESSION['vfm_user_name'];
- $curruser = $this->getCurrentUser($username);
- if (isset($curruser[$info]) && strlen($curruser[$info]) > 0) {
- return $curruser[$info];
- }
- }
- //游客可访问公共目录(public_dirs)内容
- else {
- $public_dirs = $setUp->getConfig('public_dirs');
- $public_dirs = '["' . join('","', array_values($public_dirs) ) . '"]';
- return $public_dirs;
- }
- return null;
- }
打开 class.gatekeeper.php 文件,查找 isAllowed($action) 对象方法,把其中的 $role = $role == null ? 'guest' : $role; 三目运算符条件判断改动一下,修改后代码为:
- /**
- * Check if target action is allowed
- *
- * @param string $action action to check
- *
- * @return true/false
- */
- public function isAllowed($action)
- {
- global $setUp;
- if ($action && $this->isAccessAllowed()) {
- $role = $this->getUserInfo('role');
- // $role = $role == null ? 'guest' : $role;
- $role = !$this-> isUserLoggedIn() ? 'guest' : $role;
- if ($role == 'superadmin') {
- return true;
- }
- $base_actions = array(
- 'view_enable',
- 'viewdirs_enable',
- 'download_enable',
- );
- // Base actions true for all except Guest and User
- if (in_array($action, $base_actions) && $role !== 'guest' && $role !== 'user') {
- return true;
- }
- $role_ext = $role == 'admin' ? '' : '_'.$role;
- return $setUp->getConfig($action.$role_ext);
- }
- return false;
- }
8.让网页标题(title)动态显示为当前路径
打开 根目录/index.php 文件,查找网页标签<title>,并修改为:
- <?php
- $pathname = basename($location->getDir(true, false, false, 0, false));
- $father = basename($location->getDir(false, false, false, 1));
- ?>
- <title><?php print $pathname." | ".$father." | ".$setUp->getConfig('appname'); ?></title>
9.解决中文目录无法上传文件bug
打开 根目录/vfm-admin/ajax/chunk.php 文件,查找如下一行代码:
- $getloc = $getloc ? ltrim(base64_decode($getloc), './') : false;
- $getloc = str_replace(' ','+',$getloc);
与解决此漏洞相关文件:
根目录/vfm-admin/config-master.php //配置文件
根目录/vfm-admin/class/class.location.php //检查当前用户目录权限(修改此文件)
根目录/vfm-admin/class/class.dirs.php //遍历所有用户私有文件夹下的子目录,使可以列表显示
根目录/vfm-admin/template/list-files.php //前端文件列表显示UI模板
根目录/vfm-admin/class/class.gatekeeper.php //验证当前用户权限的类
根目录 /vfm-admin/ajax/get-files.php //显示文件相关权限按钮
待实现功能:
1.解决管理员自定义设置的隐藏文件和文件夹,如果在公共目录内,游客和登录用户仍然显示的bug。
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
