我正在使用HTTP_RAW_POST_DATA并将其保存到图像文件中。是否有任何可利用的安全问题需要注意?
答案 0 :(得分:2)
安全隐患与任何其他文件上传机制相同。您可能有语义含义,因为POST正文可能不是原始数据,例如如果引用可打印编码或压缩。
答案 1 :(得分:1)
是的,如果我的POST身体看起来像......
<?php
rmdir(__DIR__ . '/../');
...我可以通过URL访问该文件(仅当您的图像扩展名设置为运行PHP时,可能不太可能),或者您运行它(例如,意外地include),你会遇到麻烦。
如果您想安全,请将文件存储在文档根目录上方,并使用GD等图像处理库从字符串中写入图像并保存该输出。如果它是恶意文件,您应该只得到垃圾输出图像。