21,886
社区成员
发帖
与我相关
我的任务
分享请教 用这种安全验证方法 php上传Excel方法 够安全么?
近期想使用php上传Excel文件到网站导入数据,Baidu了一下,发现似乎有很多不安全的因素存在,因为我们数据库较有价值。特别担心被人利用上传漏洞。做了这个一方案,求指正
(1)客户端文件后缀验证
因为客户端的验证可能被绕过,所以只使用简单的验证方式。
--服务上代码验证:
(2)mime类型验证(excel)
(3)文件后缀验证(xls)
(4)文件大小(范围值)
(5)文件头验证
(6)Excel读测试(是否能读取A0,B0,C0三者之一)
(7)上传目录+文件名(规则随字串_扩展名)
(8)位置:放到web外面 (暂时不考虑)
--服务器配置:
(9) 上传目录nginx没有执行权限
(10)上传目录不可web访问
求指正谢谢,分不够可加。
(1)客户端文件后缀验证
因为客户端的验证可能被绕过,所以只使用简单的验证方式。
--服务上代码验证:
(2)mime类型验证(excel)
(3)文件后缀验证(xls)
(4)文件大小(范围值)
(5)文件头验证
(6)Excel读测试(是否能读取A0,B0,C0三者之一)
(7)上传目录+文件名(规则随字串_扩展名)
(8)位置:放到web外面 (暂时不考虑)
--服务器配置:
(9) 上传目录nginx没有执行权限
(10)上传目录不可web访问
求指正谢谢,分不够可加。
...全文
请发表友善的回复…
发表回复
