5

PHP のセキュリティについて、同僚と興味深い議論をしていました。

標準の HTML フォームで実行されている PHP サイトを持っている人がいるとします。攻撃を受けたユーザーは、Chrome 開発者ツールを使用して DOMenctype="multipart/form-data"file input.

攻撃者はファイルをアップロードします。ファイルがウイルスである場合はおそらく実行されませんが、その時点でまだ帯域幅/ストレージを使用しています。これを行うだけで、ファイルは PHP/tmpディレクトリに移動しますか? これにより、ユーザーは任意のフォームでファイルをアップロードできるため、すべてのフォームがいくらか安全でなくなるのではないでしょうか?

より大きな規模では、100,000 人がそれを DOM に追加し、ランダムなギガバイトのファイルをアップロードしたらどうなるでしょうか? 一時的に帯域幅やストレージの限界に達しませんか?

4

1 に答える 1

3

アップロード自体は、何があっても行われます。ファイルはアップロード一時ディレクトリに保存され、PHP スクリプトが開始されます。スクリプトがアップロードされたファイルを処理しない場合、スクリプトの実行が終了すると、ファイルは一時ディレクトリから自動的に削除されます。

最大サイズを超えたときにサーバーがリクエストを中止するかどうかは、構成の問題です。

于 2013-04-11T13:31:52.820 に答える