目前,我正在开展一个网络项目(Classic Asp),我将打造一个上传表单。
民俗学说:
"请勿使用真实姓名保存上传的文件"
。 从安全的角度来看,存在哪些问题和危险?
答案 0 :(得分:1)
正确的目录权限应该停止大部分这些东西,但我想文件名的潜在危险是他们可以命名为“../Default.asp”或“../Malware.asp”或其他一些恶意试图覆盖文件和/或在服务器上有可执行脚本的路径。
如果我使用单个上传文件夹,我总是使用GUID文件名保存我的用户上传,因为用户不是非常原创,否则会经常发生名称冲突。