就是上传的图片或文件,要是有木马什么的咋整?对文件进行什么处理可以防止。
微信里点“发现”,扫一下
二维码便可将本文分享至朋友圈。
基本上简单的处理就是检测文件的类型,或者你直接将这些文件放到第三方的cdn,不过要是真正的神来挂木马,我是没有办法的。
主要就是目录和执行 php 的用户的权限设置了。
不要让用户可以通过变量 控制 目录路径 和文件名以及扩展名就行了… 假如你文件保存路径的代码是 $save_path = ‘/uploads/’ . $username . ‘/’ . filetype.′/′.filetype. '/' .filetype.′/′.file_name;
那么这几个 变量就不要交由用户可以控制就好 比如 不要 $filetype = request−>get(′request->get('request−>get(′filetype’); 这样用户就可以通过filetype 传递恶意参数 比如 试想一下 下面的url http://test.com/upload?filetype=image…/…/ 这样上传的文件就跑到根目录去了 总而言之 你如果 什么变量都不传入到 文件保存路径当中去 就不会有什么大问题 检查好文件类型 和 文件扩展名就ok 然后设置存放上传文件的目录 不要给执行权限 web文件目录安全的原则就是 可写与可执行不可并存.
http://test.com/upload?filetype=image…/…/…/ 这样
