私は、PHPのセキュリティについて仲間の同僚と面白い議論をしていました。フォームとDOM操作に関するPHPセキュリティ
たとえば、ある人が標準のHTMLフォームで動作するPHPサイトを持っているとします。攻撃者はChromeデベロッパーツールを使用してDOM enctype="multipart/form-data"
とfile input
を追加します。
攻撃者はファイルをアップロードしますが、ウイルスであってもまだその時点で帯域幅/ストレージを使用している場合は実行されない可能性があります。これを行うだけで、ファイルはPHP /tmp
ディレクトリに入りますか?これは、ユーザーがどんな形式でもファイルをアップロードできるように、あらゆる形を何らかの形にするのではないでしょうか?
10万人がDOMに追加してランダムなギガバイトのファイルをアップロードした場合の規模は?一時的に帯域幅やストレージマークに当たってしまうのではないでしょうか?
アップロードを処理するには、まだサーバー側のコードが必要です。アップロードされていない場合は、アップロードしないでください。 – Marty
それは自動的に '$ _FILES ['name'] ['tmp_name']'に入りますか? – JREAM
**着信**帯域幅のために料金を請求するホスティングプロバイダがある場合は、ブリッジから飛び降りるように教えてください。しかし、はい、ものは自動的に '/ tmp'に保存されますが、時間の経過とともにリサイクルされます。 –