我正在浏览我的第一个可以上传图像的表格。
我在网上看到一些文章解释它可能很危险,所以有一些方法可以阻止指定文件夹上的脚本?有.htaccess或php .ini指令的东西吗?
答案 0 :(得分:1)
您最好的选择是在上传时验证文件的扩展名。如果它不是jpg / png / gif /等,请将其解雇。只要您的网络服务器没有错误配置为将任何文件解释为PHP文件,那么使用这种方法您就会受到伤害,最小的麻烦和非常简单的实现。
答案 1 :(得分:1)
非常好的方法是确保您的上传目录不在您的webroot中。只要Web服务器具有读/写访问权限,您就可以了 - 不用担心可执行文件上传。讨论了here on stackoverflow。
答案 2 :(得分:1)
检查上传的文件是否具有良性扩展名(.gif,.mp3等) - 并删除其他任何内容。对于extra-sekrit保护,在数据库中捕获文件的原始名称(供将来参考),然后加密文件名(并存储该文件名)。这样,上载者无法通过文件名找到上传的任何内容。
答案 3 :(得分:0)
只有让用户上传他们想要的内容,这才是危险的。只允许你决定的是安全的,你不需要阻止任何事情。
答案 4 :(得分:-3)
我认为如果您不检查上传的文件类型可能会有危险,例如“黑客”上传了一个删除所有httpdocs内容的php文件,或者人们可以上传到很多文件或大文件。