【发布时间】:2011-08-03 08:25:31
【问题描述】:
我有一个 PHP 脚本,它允许用户上传 CSV,然后通过 API 进行一些更改。
我在上传文件后使用 fopen 打开和访问文件。我在上传时使用 $_FILES 数组检查大小、名称、是否存在已知的错误扩展等。
数据只是 ID 和相应操作代码的网格。
这是一个封闭的用户组,没有任何内容被包含)()'ed 或 require()'d 从这个输入中,但我仍然担心通过操纵上传可能会发生一些不好的事情。
if (($han = fopen($fileloc, "r")) !== false) {
while (($data = fgetcsv($han, 50, ",")) !== false) {
array_push($stack, $data); //
}
fclose($han);
}
【问题讨论】: