1

我目前正在将HTTP_RAW_POST_DATA其保存到图像文件中。我需要注意任何可利用的安全问题吗?

4

2 回答 2

2

安全隐患与任何其他文件上传机制相同。您可能有语义含义,因为 POST 正文可能不是原始数据,例如,如果它是带引号的可打印编码或压缩的。

于 2012-05-28T11:37:07.010 回答
1

是的,如果我的POST身体看起来像...

<?php

rmdir(__DIR__ . '/../');

...并且我可以通过 URL 访问该文件(仅当您的图像扩展名设置为运行 PHP,不太可能但可能),或者您运行它(include例如,意外地),您将遇到麻烦。

如果您想安全,请将文件存储在文档根目录上方并使用图像处理库(例如 GD)从字符串写入图像并保存该输出。如果它是一个恶意文件,你应该只得到一个垃圾输出的图像。

于 2012-05-28T11:31:49.900 回答