網(wǎng)站上傳文件需注意的幾點(diǎn)
日期:2011/10/9 / 人氣:
1.如果使用的是基于Windows的機(jī)器,通常情況下,必須確保在文件路徑中用“\\”或“/”代替“\”。
2.如果文件上傳腳本的運(yùn)行出現(xiàn)問(wèn)題,請(qǐng)檢查PHP配置文件。需要將upload-tmp-dir指令設(shè)置成指向有訪問(wèn)權(quán)限的目錄。如果要上傳大文件,同時(shí)可能還需要調(diào)整memory-limit指令;該指令決定能夠上傳的最大文件字節(jié)數(shù)。Apache還有一些可配置的超時(shí)設(shè)置和事務(wù)大小限制,如果在上傳大文件時(shí)遇到問(wèn)題,可以考慮檢查這些設(shè)置。
佛山網(wǎng)站建設(shè)_佛山網(wǎng)站制作_佛山網(wǎng)站設(shè)計(jì)_佛山網(wǎng)站_佛山網(wǎng)頁(yè)設(shè)計(jì)_佛山網(wǎng)頁(yè)建設(shè)_佛山網(wǎng)頁(yè)制作
3.如果允許不信任的或者沒(méi)有通過(guò)身份驗(yàn)證的用戶上傳文件,就必須對(duì)文件的內(nèi)容作出嚴(yán)格的規(guī)定。我們最不希望出現(xiàn)的是上傳和運(yùn)行惡意的腳本。應(yīng)該非常小心,不僅是文件進(jìn)行命名。
4.就向我們以上腳本所做的,使用用戶提供的文件名稱可能會(huì)導(dǎo)致一系列的問(wèn)題。最明顯的問(wèn)題就是如果上傳的文件名稱已經(jīng)存在,可能會(huì)意外的覆蓋已有文件。還有一個(gè)不是非常明顯的風(fēng)險(xiǎn)是不同的操作系統(tǒng),甚至是本地的不同語(yǔ)言設(shè)置將文件名稱中包含不同的合法字符集。對(duì)于一個(gè)被上傳的文件來(lái)說(shuō),其文件名稱可能包含了對(duì)系統(tǒng)來(lái)說(shuō)是非法的字符。
5.我們要采取措施控制上傳的文件,不應(yīng)該讓任何人都能上傳文件。這樣有助于網(wǎng)站的安全性。
6.要降低用戶“瀏覽Web服務(wù)器目錄”的風(fēng)險(xiǎn),你可以使用basename()函數(shù)來(lái)修改所接收文件的名稱。這個(gè)函數(shù)將過(guò)濾作為文件名稱一部分而傳入的目錄路徑,這是在服務(wù)器的不同目錄下防止文件的常見(jiàn)攻擊手段。
作者:朋友圈科技
相關(guān)內(nèi)容 Related
- 為什么響應(yīng)式設(shè)計(jì)需要媒體查詢2016/8/5
- 虛擬主機(jī)被搜索引擎爬蟲(chóng)訪問(wèn)耗費(fèi)大量流量解決方法2016/8/3
- 網(wǎng)站建設(shè)中如何創(chuàng)建完美的顏色組合2016/8/1
- 什么是長(zhǎng)尾關(guān)鍵詞?2016/8/1
- 建設(shè)企業(yè)或個(gè)人網(wǎng)站的好處2016/7/8
- 前端開(kāi)發(fā)者需要知道的常識(shí)2016/7/6
- 12種方法為您拓展業(yè)務(wù)通道2016/7/27
- SEO優(yōu)化的三大技巧2016/7/24
- 10的方法來(lái)提高你的網(wǎng)站設(shè)計(jì)2016/7/24
- 網(wǎng)站統(tǒng)計(jì)用哪個(gè)比較好,百度?cnzz?2016/7/21