保护匿名图像上传

Question

www.ebayclassifieds.com 等网站允许用户上传图像，以便在发布内容之前查看缩略图预览并进行图像调整。访问者可以在未经任何事先授权的情况下匿名将图像上传到这些网站。

是否可以为具有带宽和磁盘空间限制的较小站点完成相同类型的图像预览？我猜想人们会设置一个 cron 作业来定期删除匿名上传的图像。但是，如果有人试图通过上传虚假图像向您的网站发送垃圾邮件，可以采取哪些其他措施来确保带宽使用和磁盘空间不失控？

Answer 1

以下是我的一些想法：

1. 使用会话状态来跟踪上传的文件，并在会话过期时自动删除它们。
2. 限制每个会话/访问者的上传次数（即每个匿名访问者一次）
3. 限制可以上传的文件的最大大小。
4. 将图像类型限制为仅压缩的图像（即不允许 BMP）
5. 上传图像后立即将图像缩小到合理的大小。您可能不需要全尺寸。

Answer 2

除了 madisonw 的答案之外，我还想补充一点，也使用验证码进行上传，这样用户就无法使用自动化工具来大量上传图像......