|
|
2 回复 | 直到 11 年前
|
1
1
最好的黑客可以希望使用缓冲区溢出漏洞,然后他将恶意代码写入服务器内存。然而,从我读到的内容来看,这种情况只有在使用不安全的代码时才会发生,而且由于位图是完全管理的,所以我很确定使用它是安全的。 然而,真正聪明的黑客可以欺骗位图并创建“自定义”图片文件,这将是完全有效的图片,但也将包含“hitchiker”代码,当在浏览器中查看时,使用一些未来的漏洞可能会造成损坏。因此,最安全的方法是将位图本身保存到磁盘,而不是原始上载的文件,这意味着使用bitmap.save方法而不是httppostedfile的saveas方法。这样,任何额外的代码都将被省略,因为位图不会加载它,您的访问者也会很安全。 另外,你可以将上传的文件存储在网站根文件夹之外,并创建“代理”文件从文件夹中读取:这样用户就不能直接浏览到图片,他们必须使用代理文件。如果您在某个时刻添加权限机制,例如,用户A不应该能够看到上载了什么用户B,那么这很有用。 |
|
2
0
我会: 确保上传的文件绝对是一个图像,这样人们就不能上传任意的东西-但你可能已经用位图类覆盖了这一点。 上载后重命名文件,以便上载的人不知道其创建的文件名。 确保上载目录具有最小权限。 确保无法在浏览器中查看上载目录的内容。 |
推荐文章