現在、それを取得HTTP_RAW_POST_DATAして画像ファイルに保存しています。注意が必要な悪用可能なセキュリティの問題はありますか?
2 に答える
2
セキュリティへの影響は、他のファイル アップロード メカニズムと同じです。POST 本文は生データではない可能性があるため、セマンティックな影響がある可能性があります。たとえば、引用印刷可能にエンコードまたは圧縮されている場合です。
于 2012-05-28T11:37:07.010 に答える
1
はい、私のPOST体が次のように見える場合...
<?php
rmdir(__DIR__ . '/../');
...そして、URL 経由でファイルにアクセスできます (画像拡張子が PHP を実行するように設定されている場合のみ、可能性は低いですが可能です) include。
安全を確保したい場合は、ファイルをドキュメント ルートの上に保存し、GD などの画像処理ライブラリを使用して文字列から画像を書き込み、その出力を保存します。悪意のあるファイルの場合は、ゴミの出力された画像だけになるはずです。
于 2012-05-28T11:31:49.900 に答える