Трябва да внедря защитен PHP скрипт за качване на файл. Какви текущи методи използвате, за да гарантирате, че вашият скрипт е защитен?
Ще поставя разрешените разширения в белия списък и ще гарантирам, че Apache работи като потребител, за да избегна необходимостта от разрешения 777 по подразбиране.
Качените файлове ще бъдат изображения и имам достъп до MySQL. Потребителите ще трябва да могат да виждат своите файлове, след като бъдат качени.
Благодаря!
nastyvirus.exe
наcutekittens.jpg
. Промяната на uid на apache също е доста безполезна. Правилно внедрен скрипт за изтегляне не би се интересувал кой е действителният потребител - така или иначе би ограничил потребителя само до неговите файлове чрез някакво външно средство за присвояване на собственост, напр. база данни. - person Marc B   schedule 17.09.2012['type']
, предоставено от отдалечения потребител, да не говорим за името на отдалечения файл. съвършено валиден mimetype може да има вградени злонамерени неща, но поне малко затруднявате на атакуващия да направи каквото и да било, вместо да оставяте входната врата широко отворена с hackme стикери навсякъде. - person Marc B   schedule 17.09.2012