为什么Symfony的UploadedFile`getClientOriginalName()`不安全?

时间:2019-07-16 17:23:44

标签: php symfony symfony-http-foundation

文档仅声明它是用户提供的输入,因此不可信。之所以这么说是有道理的,因为我们从不信任用户输入,但是恶意用户可以通过什么方式对该上传文件中的此请求参数或其他请求参数造成损害?

我要求我知道何时何地可以安全使用此信息,何时不安全,以及在至少必须参考时如何减轻影响。

0 个答案:

没有答案