1

我有一个 PHP 网站,我想知道让用户上传 .SWF 文件是否安全?

如果是,我能做些什么来让它 100% 安全吗?

4

1 回答 1

3

一般来说,允许用户上传任何可能以某种形式(无论是二进制文件还是脚本)可执行的文件是很危险的。根据用户的需要,可能有一种安全的方法。

只要用户不需要执行 .SWF 而只是存储它们,您就可以简单地从文件中删除位于服务器上的可执行位。这样文件就无法在您的服务器上执行。

但是,您必须解决的问题是用户上传了针对其他用户而不是您的服务器的恶意 SWF。即使您删除了可执行位,用户仍然可以诱骗其他用户下载并执行存储在您服务器上的 SWF。要解决此问题,您应该坚持让用户登录才能访问他们的文件,或者至少是 SWF 文件。这样,如果没有有效的会话,某人就无法访问它。

重要的是文件不由您的服务器执行。Flash 因漏洞而臭名昭著,您不希望被上传恶意 SWF 以执行到您的服务器的用户 Pwned。

于 2013-03-22T17:49:28.013 回答