我根本没有将 tmp 文件移动到“实时”(网络可访问)目录,只是file_get_contents
对 tmp 文件执行一个操作并针对它运行一些正则表达式(代码永远不会执行/运行)。
这会是危险的还是会带来任何风险?
我根本没有将 tmp 文件移动到“实时”(网络可访问)目录,只是file_get_contents
对 tmp 文件执行一个操作并针对它运行一些正则表达式(代码永远不会执行/运行)。
这会是危险的还是会带来任何风险?
这在一定程度上取决于您的环境。
文件上传本身不会有害,除非您的环境不是 Windows。在这种情况下,我会使用防病毒程序来检查文件,然后再对其进行任何处理。
此外,文件大小很重要。file_get_contents
将立即将整个文件读入服务器的内存。因此,如果文件太大或您的资源太少,您可能会遇到错误。
如果我不向用户展示上传的内容,这可能就是我担心的全部。
由于您没有执行它,因此该文件只不过是一个纯文本文件。像检查任何其他数据文件一样检查文件大小和类型,您应该是安全的。
如果您稍后决定使其可通过 Web 访问(无论出于何种原因),请确保对其设置权限(在 Linux 环境中)或更改文件扩展名(在 Windows 下),以使其无法执行。