以下代码中来自不可信用户输入的$file或$mime可能存在哪些安全问题(理想情况下是清理)?
header("Content-Disposition: attachment; filename=" . $file);
header("Content-Type: " . $mime);
回到供应用户(没有带FileReader的浏览器的用户),至少我自己的JavaScript调用这肯定了MIME的合法性(我很确定文件名,虽然我我还想知道我的Windows 7机器不允许的任何其他字符是否不应用于任何其他现代操作系统:\/:*?"<>|)。我不太关心客户端问题,更重要的是这里是否有任何服务器端危险......