2
A
回答
0
有多個步驟來區分:
的瀏覽器將數據發送到Web服務器
PHP解釋該數據,存儲在一個臨時文件中的文件內容,並使得在$ _FILES中的條目
您的腳本做一些事情,在$ _FILES收到的陣列和在臨時文件中的內容
由於PHP及其注視網絡服務器通常被廣泛使用,因此步驟1和步驟2不應允許攻擊者做壞事。最容易受到攻擊的步驟是3.這裏的內容可以被攻擊者操縱 - 如果你使用文件名來命名服務器上的目標文件,如果沒有適當的過濾,這是非常危險的。
相關問題
- 1. 如何填充FileUploader默認值
- 2. TYPO3 - 文件上傳,默認覆蓋
- 3. 如何更改jquery文件上傳的默認上傳路徑
- 4. 默認將上傳的文件上傳到S3
- 5. 在JSP中上傳文件 - 如何更改上傳文件的默認路徑
- 6. 設置默認文件上傳使用Apache公共文件上傳
- 7. 爲Lotus Notes文件上傳控件設置默認目錄
- 8. 如何覆蓋django admin的默認文件上傳行爲?
- 9. 如何給文件上傳字段的默認值
- 10. 最大上傳大小fileuploader ASP每fil
- 11. 上一個SQLFORM的web2py默認上傳
- 12. 無法將圖像上傳到數據庫和應用程序(fileuploader js文件)? fileuploader js
- 13. 文件上傳總是發佈到'默認'模塊
- 14. 如何使用c#上傳默認文件asp.net
- 15. 默認情況下,jQuery mobile會停止文件上傳?
- 16. 成功上傳後缺少bigcommerce默認css文件夾
- 17. 在Filezilla中設置默認上傳文件權限
- 18. 如何使用FTPWEBREQUEST在非默認目錄中上傳文件?
- 19. Django圖像文件上傳默認爲隨機圖像
- 20. 在jquery文件上傳中調用默認完成函數
- 21. Django上傳文件刪除「默認」圖像
- 22. 通過輸入類型=文件上傳默認圖像
- 23. 使用非默認權限將文件上傳到Amazon S3
- 24. 上傳期間文件大小超過默認大小
- 25. 默認.snippet文件
- 26. 默認文件夾
- 27. Apache localhost的默認文件
- 28. 默認的nginx conf文件
- 29. GetOpenFilename的默認文件名
- 30. 安卓瀏覽器文件上傳只允許視頻文件默認
取決於你在做什麼。如果您使用用戶輸入來選擇文件名,那麼YES任何可以訪問Web服務器用戶的服務器都是潛在的公平遊戲,並且您必須仔細過濾輸入,使其符合類似'../'或null字節的模式,並且在可能的情況下使用值白名單。 –
順便提一句,你需要保護自己的東西的名稱是[_Directory Traversal Attack_](http://en.wikipedia.org/wiki/Directory_traversal_attack)和[_NULL字節注入_](http://projects.webappsec.org/W /頁/ 13246949 /空%20Byte%20Injection) –