PHPファイルアップロードをだましてサーバーからテキストドキュメントを選択することはどういうわけか可能ですか?
value="link-to-file.txt"たぶん、HTMLフォーミュラでファイルへのリンクを与えることによって?
1 に答える
0
区別するには複数の手順があります。
ブラウザはウェブサーバーにデータを送信します
PHP はこのデータを解釈し、ファイルの内容を一時ファイルに保存して、$_FILES にエントリを作成します。
あなたのスクリプトは、 $_FILES で受け取った配列と一時ファイルの内容で何かをします
PHP とその見栄えのする Web サーバーは通常広く使用されているため、手順 1 と 2 によって攻撃者が悪いことを行うことはできません。最も脆弱なステップは 3 です。この内容は攻撃者によって操作される可能性があります。たとえば、ファイル名を使用してサーバー上のターゲット ファイルに名前を付ける場合、適切なフィルタリングを行わないと危険です。
于 2012-10-19T22:09:59.597 に答える