首页 » 安全知识库 » WEB安全原理 » 文件上传 » 正文

PHP 文件上传代码防御

1,时间戳修改文件名+白名单验证文件后缀

修改上传文件的名字,设置允许上传文件的类型,采用白名单的形式严格校验。样例如下图:

2,上传目录非网站目录

建议上传目录和网站目录分离,也可以结合FTP等等技术实现。防止黑客利用解析漏洞(例如Nginx解析漏洞)绕过上传限制。

3,上传目录限制脚本执行

对使用的WEB服务进行配置,对上传的目录设置禁止脚本执行,参考链接:http://www.defvul.com/apache/

发表评论