2
我正在一個網站上,我允許用戶上傳圖像到服務器。爲了使file_put_contents()獲得正確的權限,我必須將服務器上的用戶更改爲www-data(Apache服務器的當前用戶)。正確的目錄執行權限file_put_contents()
我只是想知道這可能會產生什麼樣的安全問題,任何有更多經驗的人都可以給出更深入的解釋或更安全的替代方案?
A
回答
0
上傳到www上面的不同目錄。如果攻擊者可以上傳任何可執行的文件,而不能執行該文件......如果執行它們可以執行任何操作。
將上傳的文件名更改爲其他名稱。不要將文件保存爲用戶提供的名稱。
將文件權限更改爲只讀。
檢查文件的MIME與$ _FILES [ 'DFJK'] [ '型']類型不是......用它來檢查MIME類型
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['soup']['tmp_name']);因爲
$_FILES['filename']['type']可以由用戶改變。
也檢查文件大小,因爲它們會上傳非常大的尺寸。然後你的服務器開始拒絕服務模式。
也可以使用
htaccess停止目錄的可執行權限。RemoveHandler .php .phtml .php3 RemoveType .php .phtml .php3也
php_flag engine off
相關問題
- 1. Ubuntu - 正確的權限使用file_put_contents
- 2. IIS 7權限:如何爲目錄設置正確的權限?
- 3. 權限未得到正確執行
- 4. unix-執行權限搜索目錄
- 5. 使目錄權限被拒絕,但權限設置正確
- 6. file_put_contents權限被拒絕
- 7. file_put_contents權限被拒絕+ livedocx
- 8. 權限執行
- 9. 正確的網站目錄的文件權限
- 10. WordPress的nginx無法創建目錄 - 權限正確
- 11. CentOS上正確的文件/目錄權限
- 12. 如何強制執行Web目錄的權限?
- 13. Django的媒體目錄需要執行權限
- 14. Proftp目錄權限
- 15. mkfifo文件權限沒有被正確執行
- 16. 子目錄的Unix權限
- 17. 會話目錄的權限
- 18. 如果不在根目錄下運行,Docker cronjob權限不正確
- 19. 什麼是file_put_contents設置爲權限?
- 20. PHP file_put_contents返回'權限被拒絕'
- 21. file_put_contents表示權限被拒絕?
- 22. 流氓file_put_contents權限被拒絕
- 23. 權限響應不正確
- 24. 如何限制每個項目的SonarQube執行分析權限?
- 25. wix serviceinstall目錄權限
- 26. PHP目錄權限檢查
- 27. 創建目錄權限
- 28. joomla目錄權限問題
- 29. C#文件/目錄權限
- 30. Laravel 5 Filesystem - 目錄權限