我正在编写一个 Web 应用程序,用户可以上传他们的附件并将它们发送给管理员。我知道如果有人在附件文件中附加了一些 PHP(或任何其他 Web 编程语言)脚本,它会对系统和管理员造成漏洞。
我做了一些事情来检测一个真实且安全的文件已被上传。但由于安全性不是 100%,我认为为这个应用程序做高安全性是不够的。
我正在考虑编写一个下载器 PHP 文件,以强制下载所有类型的附件,而不是在浏览器中打开它们。
我的问题是:这种方法(强制下载)能否防止在上传的文件中执行附加脚本,解决上述漏洞,并提高我的 Web 应用程序的安全性?