我有一个PHP网站,我想知道让用户上传.SWF文件是否安全?
如果是,我可以采取哪些措施使其100%安全吗?
答案 0 :(得分:3)
一般来说,允许用户上传任何可能以某种形式执行的文件(无论是二进制文件还是脚本)都是危险的。根据用户的需求,可能有一种安全的方式。
只要用户不需要执行.SWF而只需存储它们,您就可以在文件位于服务器上时从文件中删除可执行位。这样就无法在服务器上执行该文件。
您需要解决的问题是,用户上传针对其他用户而非您的服务器的恶意SWF。即使您删除了可执行位,用户仍然可以欺骗其他用户下载并执行存储在服务器上的SWF。要解决此问题,您应该坚持要求用户登录才能访问其文件,或至少访问SWF文件。这种方式没有有效的会话,有人无法访问它。
重要的是服务器不能执行这些文件。 Flash因漏洞而臭名昭着,并且您不希望被上传恶意SWF以便执行到您服务器的用户进行Pwned。