我有一个接受多个文件输入的网页。如果文件太大或文件类型不正确,我想显示警告以警告用户:
FileName: Size exceeds 500kB.
其中FileName是用户提供的文件名。我认为这是用户输入。这里需要进行任何消毒吗?它会是什么样的?
答案 0 :(得分:1)
根据经验,我总是会清理任何用户输入。我知道这可能听起来很糟糕,但基本上,不要相信你的用户!话虽这么说,我认为没有一种简单的方法可以破解文件输入,但显然有人可能会上传一个恶意文件,这种文件通常以.exe或.zip的形式出现,我将从上传消除这些文件。 / p>
如果我是你,我会查看validate.js,它提供客户端验证,并且设置起来非常简单。您可以指定要接受的文件类型和文件输入的上载大小。
就目前而言,您可以回显返回文件名,而无需担心文件名的清理。