关于“php安全的文件上传”的问题,小编就整理了【5】个相关介绍“php安全的文件上传”的解答:
php如何实现上传文件显示上传进度百分比?使用Ajax 方式上传文件,显示进度条一般都要求IE10以上的浏览器,但Chrome Firefox Safari这些版本低些都可以支持; 如果上传文件的话可以使用 jQuery form 插件,如果同时上传多个文件的可以使用 jQuery Uploadify插件,用SWFUpload没有浏览器的限制但是要求浏览安装Flash插件,当前还有很多这方面的插件,你可以根据自己使用的习惯来选择;
php实现curl模拟ftp上传的方法?本文实例讲述了php实现curl模拟ftp上传的方法。分享给大家供大家参考。具体如下:
<?php function upload($dir,$src,$dest) { $ch = curl_init(); $fp = fopen($src, 'r'); curl_setopt($ch, CURLOPT_URL, '@host/interpretation/'.$dir .'/'. $dest); curl_setopt($ch, CURLOPT_UPLOAD, 1); curl_setopt($ch, CURLOPT_INFILE, $fp); curl_setopt($ch, CURLOPT_INFILESIZE, filesize($src)); curl_exec ($ch); $error_no = curl_errno($ch); curl_close ($ch); if ($error_no != 0) { return 0; }else{ return 1; } } upload("images","s.py","aaa.py"); ?>
php上传文件用什么mimetype?1、判断上传文件的扩展名和mimetype,还可以扫描 <?php 、 eval 之类的特征串。但这只是被动防御的方法。
2、上传的文件不要保存为原名,要保存为对方猜不到的文件名(如文件加盐hash或随机字符串+文件hash,不带扩展名),和原名一起保存在数据库里。
3、上传的文件要保存在Web服务器的http不能访问到,但PHP可以读出来的路径,或者干脆保存在内网另一台服务器上,而下载/使用的时候单独用一个PHP来读,向浏览器返回真实文件名(这样要支持分块下载就有点麻烦了)。同时要保证这个PHP、机器上php版本没有可以利用文件操作来执行任意代码的漏洞。
php文件上传的时候如果有重名的文件会自动覆盖还是上传失败?这个不是由php来决定 而是由开发者来决定的上传文件的流程是先将文件上传到临时目录 然后再拷贝到目标目录 拷贝是的文件名可以是原文件名 但一般都会生成一个唯一的文件名 这样即使你传相同的图也不会出现同名现象
什么是文件上传漏洞?文件上传漏洞: 允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。 任意文件上传漏洞原理: 由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向 某个可通过 Web 访问的目录上传任意PHP 文件,并能够将这些文件传递给 PHP 解释器,就 可以在远程服务器上执行任意PHP 脚本。
到此,以上就是小编对于“php安全的文件上传”的问题就介绍到这了,希望介绍关于“php安全的文件上传”的【5】点解答对大家有用。
