php - 通过表单 POST 上传文件时注入(inject)文件路径

Question

我在 Apache 服务器上设置了一个 Symfonfy 框架。假设在客户端，我制作了一个文件上传请求并将其发布到我指定的端点。如果在此请求中，文件名字段设置为“../../file.png”，前提是服务器允许 MIME 类型，会发生什么情况？

作为处理请求的一部分，是否有可能知道容器或框架是否从文件名中删除了路径？我最终会在后端使用干净版本的 $request->files->all() 来避免路径注入(inject)，还是我必须自己清理它？

Answer 1

您始终需要清理上传的文件名。永远不要相信用户发送的内容。

参见 http://symfony.com/doc/current/cookbook/controller/upload_file.html

3。一个众所周知的安全最佳实践是永远不要相信用户提供的输入。这也适用于您的访问者上传的文件。