我有一个网络应用程序,允许用户上传与其帐户相关的某些文档(word / excel / powerpoint等)。我正在用CodeIgniter构建它,我只是想检查一下,我没有错过任何明智的安全措施。
有什么我想念的吗?目录中文件的CHMOD当前设置为0600,是否安全?
感谢。
答案 0 :(得分:2)
您是否考虑过以后访问文件的方式?你应该注意一个共同的缺陷 -
如果可以以任何方式操作文件路径,则可以访问您的服务器,完全在您存储文档的文件夹之外 - 例如../../../etc/somefile
为防止这种情况发生,您可以检查即将访问“。”的文件路径,以确保没有人找到在代码执行的命令中获取这些字符的方法!