서버에 업로드하기 전에 zip/rar 파일의 내용을 확인해야합니다.업로드하기 전에 파일 내용 확인
시나리오를 설명해 드리겠습니다.
1 : 정상 등록 된 사용자 2 : 우리의 프로젝트에 페이지를 만들 수 있습니다 프로젝트
, 등록 된 사용자의 관리자, 또한 만들 수 Themes
내 웹 프로젝트에서 사용자의 2 종류가 있습니다
페이지.
우리는 Theme
을 테마 팩 [Zip/Rar
파일 압축]로 업로드하는 기능을 제안했습니다.
관리자 인 경우 더 이상 보안 제약이 없습니다.
하지만 일반 등록 사용자의 경우 두려워합니다.
내 문제는 다음과 같습니다
는 가정 그 시스템에 손상을 줄 수 있습니다 [PHP 파일을 포함하여 일부 악성 파일이 포함 된 테마 팩을 업로드 등록 된 사용자. 업로드 후 내용을 확인하는 것이 가능하다는 것을 알고 있지만 그 전에 파일을 사용한 경우 어떻게 될까요?예 : 테마 팩을 업로드하는 사용자 : some PHP codes & other large files
을 포함합니다. 먼저 Google 시스템에서 테마 팩의 콘텐츠를 추출합니다. 큰 파일을 추출하는 데 시간이 걸리고 작은 PHP 파일이 이미 추출되었다고 가정합니다. 사용자는 먼저 PHP 파일을 실행할 수 있습니다.
위의 내용은 제 멍청한 멍에입니다. 실제로 다른면은 모르겠습니다.
이 문제를 파악하는 데 도움을주십시오.
ZIP 파일을 안전하게 업로드 할 수 있습니까?
글쎄, 그래서 일하는 방법은 무엇입니까 ?? 관리자는 프로젝트의 파워 유저, 그들은 관리자에 대한 상관 없어, 그래서 그들은 서버에 직접 액세스 할 수 있습니다. – Red
@DileepDil, 업로드하기 전에 사용자가 컴퓨터에서 파일을 열어 신뢰할 수 있는지 묻는 것입니다. 보안상의 이유로 플러그 인을 설치하지 않으면이 작업이 수행되지 않습니다 (사용자가 좋아하지 않을 것으로 확신 함). Nameless가 말했듯이, 업로드를 수락하고, 확인하고, 삭제하고/어딘가에 옮깁니다. –
해명 해 주셔서 감사합니다. 이해했습니다.하지만 사용자/프로그램이 업로드 직후 파일을 실행하면 어떻게 될까요? – Red