php – 保护文件上传安全

我将向您概述您应采取的方法,并阅读一些内容以了解更多信息.请务必阅读其他阅读材料,因为我的摘要不完整.

摘要：

>在单独的域上托管用户上传的内容.这是您可以采取的最重要和最可靠的防御措施.
>检查上传文件的MIME类型,以确保它在安全MIME类型的白名单中.生成一个新的随机文件名以将其保存在.对于某些文件类型(例如图像),请考虑对其进行重新编码(例如,转换为PNG,或使用ImageMagick将其从其文件类型转换为相同的文件类型),因为这可能会使某些攻击失败.
>下载/检索文件时,请确保将Content-Type：标头显式设置为安全MIME类型.还设置了X-Content-Type-Options：nosniff标头.如果您不打算在浏览器中查看该文件,请发送Content-Disposition：附件标题,以使浏览器将其视为文件下载.
>扫描文件上传中的病毒或恶意软件.

读：

> What steps should be taken to validate user uploaded images within an application?
> MIME sniffing protection
> Is it safe to store and replay user-provided mime types?
> Is it safe to serve any user uploaded file under only white-listed MIME content types?