5

我正在与一位同事就 PHP 的安全性进行有趣的讨论。

假设一个人有一个使用标准 HTML 表单运行的 PHP 站点。被攻击者决定使用 Chrome 开发者工具并添加 DOMenctype="multipart/form-data"file input.

攻击者上传一个文件,如果它是病毒,它可能不会执行,但此时它仍在使用带宽/存储。/tmp文件是否会通过这样做进入 PHP目录?由于用户可以上传任何形式的文件,这不会使每个表单都有些不安全吗?

在更大的范围内,如果 100,000 人将其添加到 DOM 并上传一个随机的千兆字节文件会怎样?这不会暂时使他们达到他们的带宽和/或存储标记吗?

4

1 回答 1

3

无论如何,上传本身都会发生。该文件存储在上传临时目录中,然后启动 PHP 脚本。如果脚本不处理上传的文件,则在脚本执行完毕后,该文件会自动从临时目录中删除。

当超过最大大小时,服务器是否会中止请求,这是一个配置问题。

于 2013-04-11T13:31:52.820 回答