是否有可能以某种方式欺骗 PHP 文件上传以从服务器选择文本文档?
也许通过在 HTML 公式中的 value="link-to-file.txt"
中提供指向文件的链接?
最佳答案
区分有多个步骤:
浏览器向网络服务器发送数据
PHP 解释此数据,将文件内容存储在临时文件中并在 $_FILES 中创建一个条目
您的脚本对 $_FILES 中接收到的数组和临时文件中的内容执行某些操作
由于 PHP 及其监控网络服务器通常被广泛使用,因此步骤 1 和 2 不应允许攻击者做坏事。最脆弱的步骤是 3。这里的内容可以被攻击者操纵 - 如果您使用文件名来命名服务器上的目标文件,那么如果没有适当的过滤,这是很危险的。
关于php - 要为 fileuploader 上传的默认文件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12975181/