作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我在 Apache 服务器上设置了一个 Symfonfy 框架。假设在客户端,我制作了一个文件上传请求并将其发布到我指定的端点。如果在此请求中,文件名字段设置为“../../file.png”,前提是服务器允许 MIME 类型,会发生什么情况?
作为处理请求的一部分,是否有可能知道容器或框架是否从文件名中删除了路径?我最终会在后端使用干净版本的 $request->files->all() 来避免路径注入(inject),还是我必须自己清理它?
最佳答案
您始终需要清理上传的文件名。永远不要相信用户发送的内容。
参见 http://symfony.com/doc/current/cookbook/controller/upload_file.html
3。一个众所周知的安全最佳实践是永远不要相信用户提供的输入。这也适用于您的访问者上传的文件。
关于php - 通过表单 POST 上传文件时注入(inject)文件路径,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36032420/
我有以下正则表达式 /[a-zA-Z0-9_-]/ 当字符串只包含从 a 到z 大小写、数字、_ 和 -。 我的代码有什么问题? 能否请您向我提供一个简短的解释和有关如何修复它的代码示例? //var
我是一名优秀的程序员,十分优秀!