允许文档上传时的安全考虑

Question

我有一个网络应用程序，允许用户上传与其帐户相关的某些文档（word/excel/powerpoint 等）。我正在使用 CodeIgniter 构建这个，我只是想检查一下我是否遗漏了任何安全方面的内容。

• 检查文件的 MIME 类型 检查
• 最大大小
• 文件名经过哈希
• 处理任何用户都不会看到文件名，而是在单击“下载”链接时，会使用 ID 调用安全下载控制器 ( http://www.example.com/safedownload/1245/ )

我还缺少什么吗？当前目录中文件的CHMOD设置为0600，安全吗？

谢谢。

Answer 1

您是否考虑过以后访问文件的方式？您应该注意一个常见的缺陷 -

如果可以以任何方式操纵文件路径，则可能会完全在您存储文档的文件夹之外访问您的服务器 - 例如 ../../。 ./etc/somefile

为了防止这种情况，您可以检查即将访问的文件路径中的“..”，以确保没有人找到一种方法来获取代码执行的命令中的这些字符！