为了账号安全,请及时绑定邮箱和手机立即绑定

is_uploaded_file为什么可以提到安全作用?

/ 猿问

is_uploaded_file为什么可以提到安全作用?

123456qqq 2018-10-04 08:23:00

我看文档上说:

如果 filename 所给出的文件是通过 HTTP POST 上传的则返回 TRUE。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。

这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。

这部分我没看明白,如果不用这个函数过滤,恶意用户如何访问本不能访问的文件?大佬能否给举例解释一下?


查看完整描述

2 回答

?
PIPIONE
echo file_get_contents($_GET['path']);

http://www.xxx.com/a.php?path=/etc/passwd


查看完整回答
反对 回复 2018-10-14
?
墨色风雨

这个函数在php5.4以及更高版本基本无实际意义,但依然保留。早期版本PHP有一个register_globals配置项,会将传入的数据全部注册为全局变量,包括上传的文件和GET、POST请求参数,可能造成变量覆盖来达到数据伪造。

查看完整回答
反对 回复 2018-10-14

添加回答

回复

举报

0/150
提交
取消
意见反馈 邀请有奖 帮助中心 APP下载
官方微信