我正在与一位同事就 PHP 的安全性进行有趣的讨论。
假设一个人有一个使用标准 HTML 表单运行的 PHP 站点。被攻击者决定使用 Chrome 开发者工具并添加 DOMenctype="multipart/form-data"
和file input
.
攻击者上传一个文件,如果它是病毒,它可能不会执行,但此时它仍在使用带宽/存储。/tmp
文件是否会通过这样做进入 PHP目录?由于用户可以上传任何形式的文件,这不会使每个表单都有些不安全吗?
在更大的范围内,如果 100,000 人将其添加到 DOM 并上传一个随机的千兆字节文件会怎样?这不会暂时使他们达到他们的带宽和/或存储标记吗?