PHP 有一個 ini 設定“max_file_uploads”,可以防止一次上傳超過給定數量的檔案。默認為 20,可以更改為任何值(我認為)。
考慮到還有一個“post_max_size”和“upload_max_filesize”,這究竟能防止什么?我的意思是,如果我將此限制更改為像 999 這樣的巨大值,那么我會遇到什么安全風險,所以它不會妨礙,同時將其他兩個限制保持在某個合理的水平?
uj5u.com熱心網友回復:
您可以將此視為深度防御,即針對檔案上傳的一般威脅的額外保護層。
直接想到的一個是攻擊者上傳許多非常小的(或 0 位元組)檔案。這些通常會存盤在臨時目錄中(/tmp通常),并且在許多檔案系統上,目錄中的檔案數量是有限的,而且很多檔案也會影響檔案系統的性能。
這是您可以決定接受或實施其他緩解措施的風險,因此此 php 設定不會“妨礙”。老實說,在許多應用程式中,這可能永遠不會導致問題,但您需要了解并做出明智的決定。在某些更高安全性的應用程式中,增加或洗掉此限制可能是不可接受的。
uj5u.com熱心網友回復:
請參考以下鏈接
[鏈接] https://www.php.net/manual/en/features.file-upload.common-pitfalls.php
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/417741.html
標籤:
上一篇:從帖子或URL中洗掉重復的引數