PHP move_uploaded_file，它提供了什麼安全

Question

無論我看看PHP函數rename和move_uploaded_file之間的區別，它總是說有一些安全特性。

我的問題是：

1. 那些是什麼安全功能，如果我不使用它發生什麼？
2. 如果我不能使用它（我做了一個上傳但不是通過POST），所以我必須使用rename函數，我需要採取什麼安全措施？

謝謝。

編輯
@Pekka從我問來闡述我打算如何上傳文件。 我將通過Ajax上傳文件，並且我有一些用於上傳多個文件的隊列功能。因此，我正在使用php://input流。

如果我理解Pekka正確答案，我沒有什麼可擔心的，因爲我將文件作爲流獲取，並且我不復制任何臨時文件。 如果我錯了，請糾正我。

Answer 1

這個背景是一個古老的，非常糟糕的漏洞（在21世紀初），您不用上傳實際文件，而是用本地文件路徑覆蓋tmp_file路徑，從而導致本地文件視爲上傳而不是實際上傳的文件。 （有沒有$_FILES陣列當時的情況。）

因此，例如，上傳頭像時，腳本會（配置文件../../super_secret/config.php或.htpasswd說，）copy()您指定的系統文件，公共場所，並嘗試將其作爲頭像圖像顯示在<img>標記中。

奇怪的是，我無法找到關於此漏洞的任何具體信息（我已經在過去幾年中搜索過很多次），但是我知道它存在是因爲我自己測試了它。任何鏈接都歡迎。

至於要採取何種安全措施，如評論中所述，我認爲您需要更詳細地解釋您打算使用哪種備選文件上傳方式。