为什么在上传时保存带有原始名称的文件很危险?

时间:2014-04-04 17:55:02

标签: security file-upload asp-classic

目前,我正在开展一个网络项目(Classic Asp),我将打造一个上传表单。
民俗学说:

  

"请勿使用真实姓名保存上传的文件"

。 从安全的角度来看,存在哪些问题和危险?

1 个答案:

答案 0 :(得分:1)

正确的目录权限应该停止大部分这些东西,但我想文件名的潜在危险是他们可以命名为“../Default.asp”或“../Malware.asp”或其他一些恶意试图覆盖文件和/或在服务器上有可执行脚本的路径。

如果我使用单个上传文件夹,我总是使用GUID文件名保存我的用户上传,因为用户不是非常原创,否则会经常发生名称冲突。