私は PHP のセキュリティ関連の記事を読んでいますが、私の最大の関心事は、ユーザーのファイル アップロード フォームです。一部のユーザーが、拡張子を変更したり、ヘッダーや MIME タイプを操作したりして、何か別のもののように見えるファイルをアップロードする可能性があることをよく読みました。これは分かります。
しかし、私の質問は、アップロードされたファイルの名前を変更して、知らないディレクトリに移動した場合、これがどのように問題になるかです。
これで十分かどうか教えてください。そうでない場合は、追加のセキュリティ チェックを実行する必要があることの見出しを教えてください。
どうもありがとう
それは、オンライン アプリケーションが何を達成しようとしているのかによって大きく異なります。アップロードされたファイルへの直接アクセスを制限したい場合は、アップロードされた領域の親フォルダーにフォルダー権限を設定して、ユーザー アクセスをブロックする必要があります。次に、データベースでパスに記録し、http 応答を介してのみファイルをホストできます。これにより、潜在的に有害なファイルへのアクセスがなくなり、ユーザーが感じたものをアップロードできるようになります。追加の手順として、各ファイルがホストされている間に誤ったファイル拡張子を追加し、それが提供されたときにそれを削除することができます。
avscand などのアンチウイルス スキャン デーモンをバックグラウンドで実行し、構成することができます。感染ファイルをスキャンして検疫ディレクトリに移動します。これにより、感染したファイルが後で人々に送り返されるのを防ぐことができます。ウイルス データベースの自動更新を構成します。私がそのようなことをしたことを少し遡るので、調査してください。
ファイル名を安全な文字で名前を変更するだけで十分です。もちろん、ユーザーごとに分離されています。