2

是否有可能欺骗 PHP 文件上传以从服务器中选择文本文档?

也许通过value="link-to-file.txt"在 HTML 公式中提供指向文件的链接?

4

1 回答 1

0

有多个步骤来区分:

  1. 浏览器将数据发送到网络服务器

  2. PHP 解释这些数据,将文件内容存储在一个临时文件中,并在 $_FILES 中创建一个条目

  3. 您的脚本对 $_FILES 中收到的数组和临时文件中的内容执行某些操作

由于 PHP 及其相关的网络服务器通常被广泛使用,步骤 1 和 2 不应允许攻击者做坏事。最容易受到攻击的步骤是 3。这里的内容可以被攻击者操纵 - 如果您使用文件名来命名服务器上的目标文件,如果没有适当的过滤,这是很危险的。

于 2012-10-19T22:09:59.597 回答