如果只使用tmp文件内容，允许上载.php文件是否危险？

我根本没有将tmp文件移动到一个“实时”的web可访问目录，只是在tmp文件上执行一个文件获取内容并对其运行一些正则表达式——代码永远不会执行/运行

---

这可能是危险的还是有任何风险？

这在某种程度上取决于您的环境

除非您的环境不是Windows，否则文件上载本身不会有害。在这种情况下，在对文件进行任何处理之前，我会使用防病毒程序检查该文件

此外，文件大小也很重要。file\u get\u内容将立即将整个文件读取到服务器的内存中。因此，如果文件太大或资源太少，您可能会遇到错误

---

如果我不向我的用户展示上传的内容，我可能只会担心这些。

因为你没有执行它，所以这个文件只不过是一个纯文本文件。像检查任何其他数据文件一样检查文件大小和类型，这样应该是安全的

---

如果以后出于任何原因决定让它可以通过web访问，请确保在Linux环境中对它设置了权限，或者在Windows下更改了文件扩展名，使其无法执行。

然后如何处理代码？它曾经被执行过吗？@deceze代码从未被执行/运行过，我只是对文件内容运行了一些正则表达式。所有上传的文件在执行php代码后都会被删除。因此，如果您以后不需要它们，就不会有数据丢失的风险。我不理解您关于在文本文件上使用防病毒软件的观点，无论环境如何。我总是为不可预见的服务器故障保留一些空间，例如服务器中的溢出，会调用该文件泄漏到不属于内存的地方，然后爆炸，它被执行：。。。但也许我只是偏执狂：我倾向于后者，即偏执狂，但我想没有太多的安全感D