誰かが助けてくれるかどうか簡単な質問があります。クライアントがログインして、すべてデータベースに保存されているコンテンツ(アップロードファイルフォームを介した写真を含む)を変更できるCMSを構築しています。
私の質問..私は調査してきました、そしてどこでも私はルートフォルダの外に画像ファイルを保存する必要があると言います。私の場合、最初にサイトにログインする必要がある管理パネル内でファイルをアップロードするのが少数の人だけである場合、これは必要ですか?ファイルの種類、サイズ、拡張子などを確認し、ファイルの名前を変更してからDBに追加することで、クライアント側ですでに手順を実行しています...これで十分安全ですか、それとも問題が発生しますか道?
ありがとう
アップロードされたコンテンツは、ブラウザで直接アドレス指定できない場所に保存することをお勧めします。誰かが.phpファイル(またはチェックするのを忘れた他の形式)をアップロードしてから、直接URLをプルアップして実行できるようにしたくありません。むしろ、ファイルを配信するラッパースクリプトがあります。
そうです、それは良い考えですが、「必要」ではありません(単語の辞書の定義による)。管理領域が安全であると判断した場合は、そうしないことを選択できます。
とは言うものの、あなたが説明するシナリオでは、画像をアップロードできる唯一の管理者ユーザーである限り、どちらにしても大したことではないと思います。
ところで、まだ行っていない場合は、ファイル拡張子ではなく、ファイルヘッダーまたはコンテンツで画像を確認してください。