如何在 CSV 文件上安全地使用 fopen?
我有一个 PHP 脚本,允许用户上传 CSV,然后通过 API 进行一些更改。
我使用 fopen 打开并访问文件上传后的文件。我在上传时使用 $_FILES 数组检查大小、名称、是否存在已知的不良扩展名等。
数据只是 ID 和相应操作代码的网格。
这是一个封闭的用户组,并且此输入中没有任何内容被包含或要求,但我仍然担心通过操纵上传可能会发生一些不好的事情。
if (($han = fopen($fileloc, "r")) !== false) {
while (($data = fgetcsv($han, 50, ",")) !== false) {
array_push($stack, $data); //
}
fclose($han);
}
I have a PHP script which allows a user to upload a CSV, and then make some changes via an API.
I use fopen to open and access the file after it's been uploaded. I check for size, name, presence of known bad extensions etc using the $_FILES array on upload.
The data is simply a grid of ID's and corresponding action codes.
It's a closed group of users, and nothing is being include)()'ed or require()'d from this input but I am still concerned that by manipulating the upload something bad can happen.
if (($han = fopen($fileloc, "r")) !== false) {
while (($data = fgetcsv($han, 50, ",")) !== false) {
array_push($stack, $data); //
}
fclose($han);
}
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我唯一能看到的是回显 HTML(
echo或print)时使用:htmlspecialchars只是为了安全起见希望有帮助! ^_^
The only thing I could see is when echoing back HTML (
echoorprint) use:htmlspecialcharsjust to be on the safe sideHope that helps! ^_^