是否需要对上传文件的格式进行限制,不限制是否有风险

更新日期: 2019-11-19 阅读次数: 513 字数: 242 分类: 安全

我目前正在实现一个文件上传功能,用来接收客户上传文件,然后工作人员后台查看。

但是,我并不确定客户会上传什么格式的文件。

起初我想直接放开限制,即,不限制用户的上传文件格式。但总觉得不对劲,似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下,发现这样做确实非常危险。

不限制文件格式的风险包含哪些

  • 上传的 PHP 文件,拿到文件路径之后,允许直接执行。
  • 文件名中包含相对路径的情况,例如,"../../etc/passwd",如果不对文件名进行更改的化,可能覆盖系统文件。例如,/etc/passwd。

预防措施

  • 自动生成文件名。不使用用户的文件名
  • 设置文件类型白名单
  • 前后端均检查文件类型

参考

https://juejin.im/post/5d196b196fb9a07ebd48ecb1

领取阿里云/腾讯云服务器优惠券

关于作者

我是来自山东烟台的一名开发者,喜欢瞎折腾,顺便记记笔记。有敢兴趣的话题,欢迎加微信 zhongwei 聊聊。 白天写程序,晚上哄熊孩子,可能回复有点慢,见谅。 查看更多联系方式

相关文章

爱评论不评论

近期节日

2020年04月07日 世界卫生日
2020年04月11日 世界帕金森病日
2020年04月19日 谷雨
2020年04月21日 复活节
2020年04月22日 世界地球日
2020年04月23日 世界读书日
2020年04月26日 知识产权日
2020年04月30日 佛诞
2020年04月30日 全国交通安全反思日
2020年05月01日 国际劳动节
2020年05月04日 五四青年节
2020年05月05日 立夏
查看更多节日