我已经转移到.NET世界,虽然我知道如何在.NET中保护文件上传,但我真的不知道如何使用PHP来完成它.很抱歉,我无法提供任何源代码,因此我不希望任何人发布我的代码的任何直接修复.
我希望有人可以向我展示一个很好的服务器端分析方法,以确保上传的$FILES数组内容实际上是一个图像或一个音频文件,或者至少它不是一个PHP文件.
解决方法
我将向您概述您应采取的方法,并阅读一些内容以了解更多信息.请务必阅读其他阅读材料,因为我的摘要不完整.
摘要:
>在单独的域上托管用户上传的内容.这是您可以采取的最重要和最可靠的防御措施.
>检查上传文件的MIME类型,以确保它在安全MIME类型的白名单中.生成一个新的随机文件名以将其保存在.对于某些文件类型(例如图像),请考虑对其进行重新编码(例如,转换为PNG,或使用ImageMagick将其从其文件类型转换为相同的文件类型),因为这可能会使某些攻击失败.
>下载/检索文件时,请确保将Content-Type:标头显式设置为安全MIME类型.还设置了X-Content-Type-Options:nosniff标头.如果您不打算在浏览器中查看该文件,请发送Content-disposition:附件标题,以使浏览器将其视为文件下载.
>扫描文件上传中的病毒或恶意软件.
读:
> What steps should be taken to validate user uploaded images within an application?
> MIME sniffing protection
> Is it safe to store and replay user-provided mime types?
> Is it safe to serve any user uploaded file under only white-listed MIME content types?
