HTTP_RAW_POST_DATA的安全问题

时间:2012-05-28 11:30:05

标签: php security http

我正在使用HTTP_RAW_POST_DATA并将其保存到图像文件中。是否有任何可利用的安全问题需要注意?

2 个答案:

答案 0 :(得分:2)

安全隐患与任何其他文件上传机制相同。您可能有语义含义,因为POST正文可能不是原始数据,例如如果引用可打印编码或压缩。

答案 1 :(得分:1)

是的,如果我的POST身体看起来像......

<?php

rmdir(__DIR__ . '/../');

...我可以通过URL访问该文件(仅当您的图像扩展名设置为运行PHP时,可能不太可能),或者您运行它(例如,意外地include),你会遇到麻烦。

如果您想安全,请将文件存储在文档根目录上方,并使用GD等图像处理库从字符串中写入图像并保存该输出。如果它是恶意文件,您应该只得到垃圾输出图像。