est-il un moyen d'empêcher quelqu'un de faire semblant un type MIME sur un téléchargement de fichier, puis l'exécution d'un php/exe/etc ...éviter mime trucage sur les téléchargements php
Je dois rendre le répertoire de téléchargement de fichiers inscriptible et exécutable afin que les fichiers peuvent être stockés, mais cela permet à quiconque d'exécuter un script après. Une chose que je peux faire est d'ajouter des données aléatoires au nom du fichier afin qu'ils ne puissent pas deviner le nom du fichier après (puisqu'ils ne peuvent toujours pas lire dans le répertoire pour obtenir une liste). J'utilise le téléchargement de fichiers avec php pour la première fois et j'essaie de couvrir tous les problèmes de sécurité.
Donc, tant que je ne permets pas quoi que ce soit avec .php et Occultation le nom du fichier que je devrais être correct. – dbrien
Non, ce qu'il veut dire, c'est de télécharger les fichiers au dessus de votre répertoire "www" ou public_html. c'est-à-dire quelque chose que votre serveur peut accéder, mais n'a pas d'URL directe. – Swati
Il est plus sûr de ne pas autoriser l'accès http à ce répertoire que de se fier à toutes les différentes extensions de fichiers dangereuses. Rappelez-vous ce que c'était un choc quand les gens ont découvert toutes les extensions de fichiers que Windows exécuterait? –