Php 未验证文件,是否存在安全问题?
我只是在阅读,遇到了以下句子:“不验证您操作的文件可能意味着用户可以访问其他目录中的敏感信息。” 首先,它没有解释在这种情况下什么是“验证”,所以我希望有人能为我澄清这一点Php 未验证文件,是否存在安全问题?,php,file-upload,upload,Php,File Upload,Upload,我只是在阅读,遇到了以下句子:“不验证您操作的文件可能意味着用户可以访问其他目录中的敏感信息。” 首先,它没有解释在这种情况下什么是“验证”,所以我希望有人能为我澄清这一点 最后,如果用户没有“验证”他们正在操作的文件,那么用户如何才能访问其他目录?这意味着如果你没有验证上传的文件,你可能会向上传PHP脚本的人敞开大门 根据您是否将该文件放置在webroot中的可访问位置,将确定用户/攻击者是否可以运行该文件 所以,如果你希望看到图像,请检查它是否为图像。如果您需要.xml,请检查它是一个xml
最后,如果用户没有“验证”他们正在操作的文件,那么用户如何才能访问其他目录?这意味着如果你没有验证上传的文件,你可能会向上传PHP脚本的人敞开大门 根据您是否将该文件放置在webroot中的可访问位置,将确定用户/攻击者是否可以运行该文件 所以,如果你希望看到图像,请检查它是否为图像。如果您需要.xml,请检查它是一个xml文件 问题的第二部分,一旦有了后门,就可以遍历文件系统了