网站通过文档上传会暴露哪些安全漏洞？

2024-03-04

我是文档存储空间的新手。我还不确定我在做什么，但在开始之前我想知道当允许文档上传时可能存在的安全威胁以及清理数据的最佳方法是什么？我正在使用 PHP，并且允许使用图像、word 文档、pdf、excel 文档等。

这是一个好的解决方案吗：

http://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/ http://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/

当允许用户上传文件时存在大量漏洞。阻止不需要的文件格式的潜力可以帮助限制某人上传 shell 并 root 您的服务器的可能性。影响服务器上信息的完整性、机密性和可用性。

您体内也存在漏洞，例如XSS（跨站点脚本）利用...允许用户运行恶意代码。这可能会导致恶意代码在用户环境中执行。

实际数据库中也有可能存在漏洞，即SQL注射。

只是不要让服务器执行可执行文件...

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

php

Storage

网站通过文档上传会暴露哪些安全漏洞？的相关文章

如何用javascript正确读取php cookies

考虑这个 php 和 javascript 代码然后我在控制台中看到的是 utma 111872281 291759993 1444771465 1445374822 1445436904 4 utmz 111872281 1444771
如何在html中制作多行类型的文本框？
PHP文件上传

如果我想在文件名转到服务器的永久位置而不是临时位置之前更改文件名我该如何执行此操作代码如下
如何在 codeigniter 查询中使用 FIND_IN_SET？

array array classesID gt 6 this gt db gt select gt from this gt table name gt where array gt order by this gt order by q
mysqli bind_param 中的 NULL 是什么类型？

我正在尝试将参数绑定到 INSERT INTO MySQLi 准备好的语句如果该变量存在否则插入 null 然后我知道 type variable i corresponding variable has type integer d
如何使用 Google 帐户对我们网站中的用户进行身份验证

如何在我们的网站中使用 Google 帐户对用户进行身份验证我希望用户重定向到谷歌登录页面然后将他重定向到我的网站我想要这个 PHP 实现你要OAuth http code google com apis accounts docs
文件修改时间检查的成本

对于Linux下包含少量字节的文件我只需要处理自上次处理以来发生更改的时间我通过调用 PHP 检查文件是否被更改clearstatcache filemtime 定期由于整个文件总是很小因此删除对 filemtime 的调用并通过将
来自本地 XML 的模拟 SoapClient 响应

我想用文件中的 XML 来模拟 SoapClient 的响应我如何创建一个 stdClass 对象就像 SoapClient 从文件返回一样客户端已经包装了 SoapClient 因此可以轻松模拟响应我的模拟是这样的 soapCli
JavaScript 中带前导零的数字发生变化

我使用 print 语句从 php 调用 javascript 函数来打印 html 代码并且传入一个整数但是在 php 中传递的值与 javascript 函数接收到的数字不匹配我不知道为什么这是调用 javascript 函数
PHP 基本身份验证 file_get_contents() [重复]

这个问题在这里已经有答案了我需要从网站解析一些 XML 数据 XML 数据是原始格式但在我需要进行身份验证之前基于基本网络服务器的身份验证使用用户名和密码 I tried homepage file get contents htt
Doctrine 1 和 Symfony 1 的多个主键？

我已经知道在 Symfony 1 和 Doctrine 1 中不可能使用多个主键但是你们知道有什么好的解决方法吗除了多对多关系之外原则 1 不适用于多列上的主键但如果你想使用多对多关系请像这样使用 BlogPost columns
模拟/存根在 PHPUnit 中实现 arrayaccess 的类的对象

这是我正在为其编写测试套件的类的构造函数它扩展了 mysqli function construct Config c store config file this gt config c do mysqli constructor pa
如何在 Smarty 中打印 json

我从 api 获取 json 如何使用 Smarty 打印 json Json格式 first name jinu last name mk loginid email protected cdn cgi l email protectio
magento成功页面变量

我正在尝试捕获一些 magento 成功页面变量以传递给我们的广告公司到目前为止我已经得到了这个但变量没有输出任何内容数据需要采用以下格式 price1 price2 price3 qty1 qty2 qty3 sku1 sku2
简单的dom php解析获取自定义数据属性值

HTML div class something ddsf PHP foreach dom gt find something data rel as this var dump this gt attr 我尝试了这个但错误在其文档中找不
使用 fopen() 包装器创建 ZIP 文件

如何使用以下命令创建 ZIP 文件fopen 包装器 http es php net manual en wrappers compression php 这显然是not道路
合并 url 中的 2 个输入值

我有这样的形式
使用来自另一个数据库的选择查询更新 mysql 表

我有两个数据库我想用另一个数据库表中的值更新一个表我正在使用以下查询但它不起作用 UPDATE database1 table1 SET field2 database2 table1 field2 WHERE database1 t
PDO语法错误

我在一个项目中使用 PDO 但提交时出现语法错误这是我的代码
如何在 PHP 中从字符串类名实例化？ [关闭]

Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案如何创建返回方法名称的新实例不幸的是我收到这个错误错误类名必须是有效的对象或字符串这是我的代码 class Foo public f

随机推荐

HttpWebRequest 和本机 GZip 压缩

当请求使用 Gzip 压缩的页面时我收到很多以下错误 System IO InvalidDataException GZip 页脚中的 CRC 与根据解压后计算出的CRC 数据我正在使用本机 GZipStream 来解压缩并正在考虑
在虚拟 getter 中添加参数

我想做的是这样的 Schema virtual getSomething get function what if what return this somethingElse else return this something what
Laravel 5 - 写入供应商目录

Laravel 5 在工作一段时间后崩溃了这是错误 file put contents Library WebServer Documents project vendor services json 无法打开流权限被拒绝在 File
java.lang.UnsatisfiedLinkError：dlopen失败：找不到库“/Users/...”

我想添加另一个库android ndk hello libs https github com googlesamples android ndk issues 364例子 In CMakeLists txt I add this is f
MediaRecorder：启动失败

我已经用谷歌搜索过但没有找到任何解决方案我正在记录来电和去电 code 与拨出电话配合使用效果良好但给出来电异常 recorder new MediaRecorder File sdCard Environment getExternal
使用 proc_open() 加载 .profile

情况是这样的我编写了一个后端应用程序在某个服务器上运行在此服务器上有一个可以通过 ssh 从前端服务器执行的脚本然后我的脚本将检查它所需的环境变量是否已正确加载因为我在脚本本身中严重依赖它们这可行尽管不是我想要的方式建立
C隐式extern用于全局变量，什么时候发生，它是如何工作的

我试图了解 C 全局变量在多个文件编译单元之间共享的方式我已经阅读了精彩的问答here https stackoverflow com questions 1433204 what are extern variables in c
错误 TS2451：无法重新声明块作用域变量“$”

尝试使用 typescript 2 1 进行编译时出现以下错误 TypeScript 错误 node modules types jquery index d ts 3770 13 错误 TS2451 无法重新声明块作用域变量不确定这意味
Perl 生成的 JavaScript 代码中出现的数字而不是“$(”

在我正在开发的一个网站上有一些随机数出现在一个非常简单的 jQuery 中这些数字并不是本来应该出现的而是 48等出现在开头像这样
如何查找带有空格的范围中第一个和最后一个填充的单元格

对于宏我使用 VBA 通过查找第一个和最后一个填充行来确定日期范围我找到了一种方法通过使用 End xlToRight 来查找第一个和最后一个填充行但只有当它是一个连续填充行时才有效例如 183 183 183 183 183 1
在 subversion 中分支子文件夹是否有效？

我有一个颠覆项目它有一个存储库和trunk tags branches顶级项目对于这个项目 trunk包含一个大部件的文件夹如 common libs core help install tests 等问题它在颠覆分支中是否有效t
使用“data-*”属性替换 HTML 标签中的“id”属性以实现 CSS 选择目的

使用 data 属性来替换元素标签中的 id 属性以进行CSS选择然后在自动化测试脚本中使用这些 data 属性是个好主意吗 No id 上的 CSS 选择和 DOM 树选择比选择任何其他属性要快得多在某些浏览器中数据属性选择可能
如何在 R 中绘制形状文件之前对其进行过滤

只是尝试过滤形状文件以简化绘图我从英国政府下载了一个形状文件基于此 https www r bloggers com r and gis working with shapefiles https www r bloggers com
SQL - 从一列中选择唯一值，然后根据另一列进行过滤

我进行了搜索发现了很多有关选择不同值的问题但它们似乎都与我的查询足够接近无法提供帮助这是场景 ID Product ID Product type 123 56789 A 123 78901 B 456 12345 A 789 45
如何在 Google 电子表格公式中将字符串转换为驼峰式

尝试创建一个公式将由空格分隔的单词字符串转换为驼峰式更小的版本 SUBSTITUTE PROPER TRIM A1 我们只需使用PROPER为大写和TRIM and SUBSTITUTE删除空格如果我们想要小驼峰命名法 By just
如何使用 JAVAFX 图表在图表上绘制多轴

祝你平安如何使用JavaFX图表API绘制多轴以下是一个大型软件中的趋势图其中绘制了一些实时数据和历史数据注册了两支笔每支笔的独立轴都在同一趋势上定义我一直在尝试在 JavaFX 2 0 图表中做到这一点我已经能够绘制实时图表
如何在ggplot2中设置geom_smooth的se（置信区间）颜色？ [复制]

这个问题在这里已经有答案了当我设置该功能时 geom smooth se TURE 置信区间是灰色的但我想设置一些其他颜色看起来是geom smooth中不能设置颜色的参数我应该创建一个新的几何对象吗或者有一些 ggplot2 扩
awk 脚本：如何防止 ARGV 被视为输入文件名

看来 awk 脚本考虑了ARGV 1 to ARGV ARGC 作为输入文件有没有办法让 awk 考虑到ARGV作为简单的参数而不是输入文件 Example test awk usr bin awk f BEGIN title ARGV
如何在 MVC ScriptBundle 中将字符集设置为 .js 文件？

我有 script js 文件其中包含几个西里尔字母字符串当我尝试使用像这样的标准链接加载它时西里尔字母变成矩形 badCharsetCaracters 这解决了这个问题如何使用 ASP NET MVC 4 Bundles 设置字符
网站通过文档上传会暴露哪些安全漏洞？

我是文档存储空间的新手我还不确定我在做什么但在开始之前我想知道当允许文档上传时可能存在的安全威胁以及清理数据的最佳方法是什么我正在使用 PHP 并且允许使用图像 word 文档 pdf excel 文档等这是一个好的解决方案吗 ht

网站通过文档上传会暴露哪些安全漏洞？

网站通过文档上传会暴露哪些安全漏洞？ 的相关文章

随机推荐

热门标签

网站通过文档上传会暴露哪些安全漏洞？的相关文章