Мое приложение позволяет пользователю загружать изображения. Вот как я дезинфицирую изображения: $file = file_get_contents($_FILES['file']['tmp_name']); $image = @imagecreatefromstring($file); imagepng($image, $outputFilename); Это защищает от: Непреднамеренные метаданные Попытка загрузить не изображения в качестве изображения И затем я обслуживаю этот санированный образ другим пользователям. Теперь мне нужно сделать то же самое с PDF-файлами. Я хочу принять загруженный пользователем PDF-файл, […]
Приветствую, я надеюсь сделать свою крошечную программу безопасной, чтобы потенциальные злонамеренные пользователи не могли просматривать конфиденциальные файлы на сервере. $path = "/home/gsmcms/public_html/central/app/webroot/{$_GET['file']}"; if(file_exists($path)) { echo file_get_contents($path); } else { header('HTTP/1.1 404 Not Found'); } С головы до ног я знаю, что ввод, такой как «../../../../../../etc/passwd», будет проблемой, но интересно, какие другие вредоносные входы я должен […]
Есть ли способ безопасно realpath() ввод пути, не используя realpath() ? Цель заключается в предотвращении вредоносных входов, таких как ../../../../../path/to/file $handle = fopen($path . '/' . $filename, 'r');