0
我想寫一個腳本,允許解析上傳的php文件。我可以在Google上找到大多數教程和安全信息,並假設您只允許上傳圖片(所以請使用getimagesize等)。PHP文件上傳的非持久性PHP文件 - 最安全的方式?
如何確認上傳的文件實際上是一個PHP文件而不依賴標頭?另外 - 我不打算以任何方式存儲文件,我只想抓取內容,解析它並轉儲信息 - 是否有一種非常安全的方式來僅抓取內容而不實際保存文件溫度?如果我必須將它保存爲臨時文件,如果我只抓取內容然後快速刪除它,我是否仍然面臨安全威脅,如果是這樣,我該如何抑制它們?
我需要對PHP文件內容進行什麼樣的清理以防止濫用系統?基本上,如果我只是將內容解析爲文本,是否有惡意用戶「注入」運行代碼的方法?
取決於您的「解析」具體需要什麼。那你爲什麼不探測'<?'?除非您的tmp目錄位於document_root之上,否則* quick *刪除似乎是多餘的。 – mario
解析只是爲了現在的結構,以便可視化我的對象,方法,屬性以及它們之間的鏈接,檢查耦合的緊密性 - 諸如此類的事情。 – linus72982