tmpファイルを「ライブ」(Webアクセス可能)ディレクトリに移動するのではなく、tmpファイルに対してfile_get_contentsを実行し、それに対していくつかの正規表現を実行します(コードが実行/実行されることはありません)。
これは危険ですか、それともリスクをもたらす可能性がありますか?
2 に答える
0
これは、環境によって多少異なります。
ご使用の環境がWindowsでない限り、ファイルのアップロード自体は害にはなりません。その場合、ウイルス対策プログラムを使用して、処理が行われる前にファイルをチェックします。
また、ファイルサイズも重要です。ファイル全体をサーバーのメモリに一度にfile_get_contents読み込みます。そのため、ファイルが大きすぎたり、リソースが少なすぎたりすると、エラーが発生する可能性があります。
アップロードしたコンテンツをユーザーに提示しないと、おそらくそれだけが心配になります。
于 2012-09-09T12:36:42.540 に答える
0
実行していないので、ファイルはプレーンテキストファイルにすぎません。他のデータファイルと同じようにファイルサイズとタイプを確認してください。安全である必要があります。
後で(何らかの理由で)Webにアクセスできるようにする場合は、(Linux環境で)アクセス許可を設定するか、(Windowsで)ファイル拡張子を変更して実行できないようにしてください。
于 2012-09-09T12:40:54.557 に答える