我试图编写一个允许上传php文件进行解析的脚本。我可以在Google上找到的大多数教程和安全信息都假设您只允许上传图像(因此请使用getimagesize等)。
如何在不依赖标题的情况下确认上传的文件真的是PHP文件?另外 - 我不打算以任何方式存储文件,我只想抓取内容,解析它并转储信息 - 是否有一种非常安全的方式来获取内容而不实际保存文件到临时?如果我必须将它保存到temp,如果我只是抓取内容然后快速删除它,我是否仍面临安全威胁,如果是,我该如何抑制它们?
我需要对PHP文件内容进行哪种清理以防止滥用系统?基本上,恶意用户是否有办法注入'运行代码,如果我只是将内容解析为文本?
答案 0 :(得分:0)
如果您只想获取文件的内容,请使用file_get_contents(),您可以将该文件的内容作为字符串获取。
http://us1.php.net/manual/en/function.file-get-contents.php
然后只使用正则表达式或w / e用于解析字符串。