파일 업로드를 보호하는 것에 대해서는 많은 기사에서 블랙리스트 대신 확장명의 흰색 목록을 준비하는 것이 좋습니다. 하지만이 방법은 이중 확장 파일에 몇 가지 문제가있는 것으로 보입니다. 예를 들어 'pdf', 'doc', 'docx'와 같은 화이트리스트가 있지만이 화이트리스트는 apple.php.doc 또는 apple.doc.php에 대해 true를 반환합니다.두 배 확장은 확장 검사 규칙을 무시합니다.
보안 확장 프로그램 기능을 작성하려면 어떻게해야합니까? 확장이 좋은 경우
'apple.php.doc'의 문제점은 무엇입니까? – zerkms
이 같은 '이중 확장'은 어디에 문제가됩니까? 나는 더 이상 윈도우를 사용하지 않지만'.doc '이 os 나 프로그램에 중요한 의미를 갖기 전에'.php'(또는'.exe')를 상상하지 않습니다. (분명히 apple.doc.php가 잠재적으로 문제를 제기 할 수 있습니다.) –
그래서 마지막 확장자를 검증해야합니다. –