安全的 PHP 文件上傳腳本
[英]Secure PHP File Upload Script
問題描述
我想我已經問過這個問題兩次了,但這是我第一次接近這個問題。 我計划允許用戶上傳和下載他們的文件(.pdf、.doc、.exl、.ppt、.png、.jpg、.gif)。
這些提示是否足夠:
http://blogs.sans.org/appsecstreetfighter/2009/12/28/8-basic-rules-to-implement-secure-file-uploads/
另外,有沒有我可以使用的腳本,我是 php 的新手。
3 個解決方案
解決方案1
25 已采納 2011-08-15 14:06:41
遲到的回復,但我認為您的腳本應該基於此: http ://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/
它涵蓋了安全的所有方面並解釋了所有有效的要點。 我希望這有幫助。
編輯:以上鏈接已失效, 這是該文章的緩存版本。
解決方案2
8 2013-10-14 00:45:31
對於未來的讀者,他們也是 php 的新手:
在閱讀 Ricki 在https://stackoverflow.com/a/7065880/1815624的回答中提到的指南之前,它提到了一個很好的指南並且絕對是推薦閱讀我建議先閱讀這個答案:
https://security.stackexchange.com/a/32853/31943
然后閱讀 Ricki 提到的指南:
http://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/
畢竟,如果您需要進一步的安全保護,您應該考慮斷開與互聯網的連接。 :P
解決方案3
3 2011-02-09 22:28:05
有一百萬個文件上傳腳本。 這個並不比其他的差。
雖然上傳 png 以外的文件的“保護”不起作用(它只檢查文件的名稱)。
上傳文件是非常安全的——它給了其他人下載文件的機會,從而使您的服務器受到某些類型的攻擊。 您引用的文章沒有提到兩個要點:
- 切勿提供與您的網頁來自同一域的任何用戶提供的文件。 有一個單獨的域用於下載。 這樣,即使有人設法上傳 Flash 動畫或一段 HTML,您的域也不會遭受跨域攻擊(例如,如果您的應用程序具有 example.org 域,您應該提供用戶內容,例如下載。 example.com);
- 始終提供帶有控制良好的標頭的上傳文件。
PHP安全文件上傳
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.