whats up guys? so my question is simple: my application receives the name of the file as a $_POST['fieldname'] from user and then create the file in a folder on server, or in another case using the $_POST['fieldname'] return the path of the file if file exists. so, is it safe?! thank you guys!
问问题
34 次
1 回答
0
答案是,这取决于您围绕文件系统访问设置的安全性以及提供文件的方式。如果您只允许他们将信息发送到特定文件夹并且您正在清理输入,那么您可能会没事。这是php.net 中有关基本文件系统安全性的更多信息。但是,您要确保他们不能在文件中编写 php 代码并直接执行它们。一个不错的选择是不允许使用 .htaccess 从该文件夹执行任何操作。
但是,正如该 php.net 链接的顶部评论所说,您真的应该考虑不要让您的用户命名文件,并且您应该考虑尝试尽可能多地存储在数据库中。
于 2013-10-27T15:45:49.177 回答