0
我爲我的面板項目中的用戶創建一個簡單的PHP雲功能 - 用戶將能夠通過www上傳文件到他的帳戶。我知道一些文件擴展名,如.php等。安全的文件擴展名,同時上傳到服務器
什麼是安全文件擴展名,我可以添加爲允許的?像PNG,JPG,JPEG,TXT,DOCX等
是否值得這個功能添加到我的項目,或者我應該就這麼走了,因爲處理安全問題也不是那麼容易嗎?
A
回答
1
首先,總是存儲在一個與一個htaccess文件保護的非公開目錄中的文件。爲了更好的衡量,只需在存儲文件之前爲每個文件附加一個「安全」文件擴展名(如「.dat」)即可。此外,請確保您檢查的是用戶無法構建一個請求,以某種方式讓他們欺騙您的網站向他們發送他們不應訪問的數據(例如其他用戶的文件,開發和網站)控制文件等)。驗證所有內容 - 不要相信表單輸入,cookies或其他來自其他系統的其他內容。
1
目前根本沒有這樣的事,作爲一個安全的文件擴展名。文件擴展名主要作爲最終用戶的類型提示,對於大多數軟件程序沒有真正的實際應用。與文件擴展名直接相關的任何可利用的安全載體都來自一個更大的問題,如配置不當的文件系統權限,Web服務器或寫入不良的代碼,並且因此無法通過特定文件擴展名的黑名單來緩解(至遠程文件的上傳涉及)。
在基於NIX *的操作系統上,大多數軟件程序通常依賴於識別文件類型,它們是magic MIME bytes。您可以使用諸如mime_content_type()或finfo::file()之類的東西來檢查PHP中文件的MIME類型。
但是,這本身並不是對實際安全性的任何衡量。當我們討論如何使遠程文件上傳安全時,我們正在談論非常廣泛的安全向量,這些向量並不都是圍繞正在上傳的文件進行的。由於文件擴展名完全是用戶提供的數據,因此無論如何都不可信,因此不可能作爲保護任何內容的手段。
相關問題
- 1. 將文件上傳到具有不同擴展名的SFTP服務器
- 2. 當文件上傳到FTP服務器丟失時失敗SSIS任務(文件擴展名)
- 3. 上傳/下載文件到安全服務器在Ionic和$ cordovaFileTransfer
- 4. 上傳文件到本地服務器到流星的「安全文件夾」
- 5. 在Linux上將不同擴展的文件從一臺服務器傳輸到另一臺服務器?
- 6. 文件上傳到不同名稱的服務器
- 7. 驗證上傳的文件擴展名
- 8. PHP上傳的文件擴展名爲
- 9. GAS中的文件上傳同名和擴展名
- 10. 上傳服務器上的文件夾中的文件是否安全
- 11. 將文件從本地存儲上傳到使用Chrome擴展的服務器
- 12. 上傳到Amazon S3時丟失文件擴展名
- 13. C#上傳文件沒有擴展名
- 14. 上傳到服務器時破碎cyrilic文件名
- 15. 文件上傳不上傳文件擴展名檢查
- 16. 從Apache服務器上的文件中刪除.php文件擴展名
- 17. 在同一域名上的多個服務器之間擴展Web服務
- 18. 上傳文件時添加文件擴展名php
- 19. 安全傳輸文件從客戶端到服務器
- 20. 軌,獲取文件名上傳時,文件服務器
- 21. 上傳時保存文件驅動器文件的擴展
- 22. 選擇要上傳文件時的文件擴展名篩選器
- 23. 上傳文件到服務器並返回文件名稱
- 24. (MacOS的服務器)Apache的文件擴展名問題
- 25. Chrome擴展和服務器之間的安全通信
- 26. 上傳到服務器的文件存在安全漏洞 - java ee - tomcat
- 27. 上傳文件安全>>限制名稱和擴展名不夠? (無法重命名或移動文件)
- 28. 安全的數據傳輸從SQL服務器到SQL服務器在Internet上
- 29. 使用chrome擴展將圖像上傳到服務器
- 30. 服務器2008中的文件擴展名限制?