0
我有一个php脚本,上传图片到服务器上的一个目录。但是我看到一些评论提到图像不应该上传到根目录以达到安全考虑。我不确定如果我上传到目前正在上传的目录中可能会出现的安全漏洞。这里是图像存储的路径。的htdocs /图像/ filenames.jpg。 
图片上传目录安全
请以安全的方式告知我以何种方式存储图像。
Q
图片上传目录安全
A
回答
1
关于图片上传的安全问题已经有很多话题,但首先应该做的是目录644的许可。接下来,需要注意名称,如注释中所建议的,时间戳是相当好的方法,但它必须与一些随机生成的值(或使用包括毫秒的时间戳)结合使用,但是如果您需要将图像有意义的名称,您必须清理用户提供的名称,过滤掉空字节,目录遍历和其他危险字符(我将白名单和限制图像名称的长度,或随机生成一个字符串)。
而不是把图像放在web根目录之外,我更喜欢使用.htaccess和php_flag engine off选项来关闭目录中的任何php执行。除了使用PHP脚本来提供图片(这是一种相当安全的方法,如果实施正确的话),将图片放在网页根目录之外也会使其无法直接访问,因此您将无法在<img>标记中使用它们。
最后,您要检查是否正在上传有效图片,通常使用GD图书馆,特别是getimagesize,只有在上传有效图片时才会返回图片大小。
同时检查此topic上的图像上传的安全性。
+0
目前我的所有图片都在web根目录下,如/htdocs/images/filename.png。我已经使用.htaccess文件用下面的命令 AddHandler的CGI脚本.PHP特等的.py的.jsp的.asp的.htm的.shtml .SH的CGI 选项-ExecCGI 将这个足以和也我再使用GD lib调整图像大小并删除用户原始图像。 – codeGEN
相关问题
- 1. 安全地上传图片
- 2. 安全图片上传PHP
- 3. 安全图片上传PHP
- 4. 安全上传gif图片
- 5. 上传图片目录
- 6. PHP图片上传安全 - gd/imagick/move_upload_file
- 7. 图片上传安全 - 与GD
- 8. 在Django中安全地上传图片?
- 9. PHP文件图片上传安全
- 10. 图片上传安全问题
- 11. Javascript:上传图片到特定目录
- 12. 上传图片到模板目录
- 13. 目录安全
- 14. 笨上传图片无法上传到destinated目录
- 15. 词篝火上传图片无法上传到destinated目录
- 16. ASP.Net目录安全
- 17. 管理员登录和上传安全
- 18. 图片上传安全 - 用户配置文件
- 19. 如何制作安全的php图片上传器?
- 20. 上传base64_decode图片通过文件把内容安全吗?
- 21. 用户上传图片到网站的权限和安全
- 22. 安全的HTML + PHP窗体上传图片和矢量文件?
- 23. 通过URL安全地上传/下载图片
- 24. CMS上传图片文件安全问题
- 25. 什么是创建上传目录最安全的方式?
- 26. 安全目录文件上传与Carrierwave失败(制作)
- 27. 服务器上的安全图片
- 28. 多个图片上传不移动目录上的文件
- 29. Apache目录和图像的安全
- 30. Rails图片上传+ Thumb +全部删除
如果您将文件夹的chmod设置为644并且使用时间戳重命名图像,则应该没问题 – JTC
如果chmod设置为644,则允许用户将文件上载到此目录,因为这里是http:// www。 draac.com/chmodchart.html这个词将只能读取。当多个用户同时上传时,是否会有重复的时间戳? – codeGEN
它是基于某人可能上传php文件或其他可执行文件的假设而增加的安全性。在webroot外部有一个上传目录会将这些文件放出或到达。 您可以在上传过程中将目录chmod改为755,然后再设置回644。 – Daniel