我根本没有将tmp文件移动到'live'(web-accessible)目录,只需在tmp文件上执行file_get_contents并对其运行一些正则表达式(代码为从不执行/运行)。
这可能是危险还是冒任何风险?
答案 0 :(得分:0)
这在某种程度上取决于您的环境。
文件上传本身无害,除非您的环境不是Windows。在这种情况下,我会使用防病毒程序在对文件进行任何处理之前检查文件。
此外,文件大小也很重要。 file_get_contents会立即将整个文件读入服务器的内存。因此,如果文件太大或资源太低,您可能会遇到错误。
如果我没有向我的用户展示上传的内容,我可能会担心这一切。
答案 1 :(得分:0)
由于您没有执行它,因此该文件只不过是纯文本文件。检查文件大小和类型,就像检查任何其他数据文件一样,您应该是安全的。
如果您以后决定将其设置为Web(无论出于何种原因),请确保在其上设置权限(在Linux环境中)或更改文件扩展名(在Windows下)以使其无法执行。