我在Apache服务器上设置了Symfonfy框架。假设在客户端,我编写了一个文件上载请求并将其发送到我指定的端点。如果在此请求中,文件名字段设置为" ../../ file.png"前提是服务器上允许使用mime类型吗?
是否有可能知道路径是否被容器或框架从文件名中删除作为处理请求的一部分?我最终会在后端使用干净版本的$ request-> files-> all(),这是否可以安全地进行路径注入,还是我必须自己清理它?
答案 0 :(得分:1)
您始终需要清理上传的文件名。永远不要相信用户发送的内容。
请参阅http://symfony.com/doc/current/cookbook/controller/upload_file.html
3。众所周知的安全性最佳实践是永远不要相信用户提供的输入。这也适用于访问者上传的文件。