【问题标题】:Security considerations when allowing document uploads允许文件上传时的安全注意事项
【发布时间】:2011-05-21 09:35:29
【问题描述】:

我有一个网络应用程序,允许用户上传与其帐户相关的某些文档(word/excel/powerpoint 等)。我正在使用 CodeIgniter 构建它,我只是想检查一下我没有遗漏任何安全方面的信息。

  • 检查文件的 MIME 类型
  • 检查最大尺寸
  • 文件名经过哈希处理
  • 任何用户都不会看到文件名,而是在单击“下载”链接时,使用 ID (http://www.example.com/safedownload/1245/) 调用安全下载控制器

我有什么遗漏吗?目录下文件的CHMOD目前设置为0600,这样安全吗?

谢谢。

【问题讨论】:

    标签: php codeigniter file-upload


    【解决方案1】:

    您是否考虑过以后访问文件的方式?您应该注意一个常见的缺陷-

    如果可以以任何方式操作文件路径,则您的服务器可能会被访问​​,完全在您存储文档的文件夹之外 - 例如 ../../../etc/somefile

    为了防止这种情况,您可以检查将要访问的文件路径是否有“..”,以确保没有人找到在您的代码执行的命令中获取这些字符的方法!

    【讨论】:

      猜你喜欢
      • 2012-10-04
      • 1970-01-01
      • 1970-01-01
      • 2014-08-19
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2014-08-14
      相关资源
      最近更新 更多