关于“php_保存上传文件”的问题,小编就整理了【2】个相关介绍“php_保存上传文件”的解答:
php上传文件用什么mimetype?1、判断上传文件的扩展名和mimetype,还可以扫描 <?php 、 eval 之类的特征串。但这只是被动防御的方法。
2、上传的文件不要保存为原名,要保存为对方猜不到的文件名(如文件加盐hash或随机字符串+文件hash,不带扩展名),和原名一起保存在数据库里。
3、上传的文件要保存在Web服务器的http不能访问到,但PHP可以读出来的路径,或者干脆保存在内网另一台服务器上,而下载/使用的时候单独用一个PHP来读,向浏览器返回真实文件名(这样要支持分块下载就有点麻烦了)。同时要保证这个PHP、机器上php版本没有可以利用文件操作来执行任意代码的漏洞。
php动态多文件上传?我用过更毒的办法,用socket,完全不是受PHP.INI限制,可实时显示上传进度,不过需要你的服务器的防火墙设置有一定要求,因为用这个办法,要动态打开服务器高于1024以上的端口用于接收数据
到此,以上就是小编对于“php_保存上传文件”的问题就介绍到这了,希望介绍关于“php_保存上传文件”的【2】点解答对大家有用。
文章来源:
用户投稿
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
