摘要:
在使用PHP进行开发时,经常遇到文件上传的场景。其中会隐藏很多我们平时注意不到的安全问题,我总结了一下,主要有几个方面:1、检查用户传来的文件名,避免 ../etc/passwd 这样的探测2、有些应用使用了用户名做为路径名,那么也需要对用户名进行详细的检查3、有些人提到了文件上传的Dos攻击,这个我觉得主要是依靠网络层面去解决,禁掉频繁访问的IP,但是对于僵尸网络的攻击,貌似没什么好的办法下面这篇文章中介绍的内容有些老,因为现在已经不是PHP3和PHP4的那个时代,虽然如此,关于文件上传中的安全处理,我们还是需要多加注意。正常的表单没有提供文件上传的功能,所以在 RFC 1867 中提出了《 阅读全文