在web应用中
文件上传是一个很重要的功能
同时文件上传也存在极大的风险,需要开发者好好把控
可能存在的常见风险
- 恶意文件,例如shell脚本,php脚本等
- 上传大量垃圾文件导致磁盘被撑爆
解决方案
恶意文件
- 严禁上传目录进行动态脚本解析
- 严格对用户上传的文件进行mimeType检测
垃圾文件
- 用户上传文件先存放到tmp目录下【可自定义】【tmp目录会定时删除】,只有用户真正触发到业务逻辑提交才将文件移动到目标文件夹
- 用户进行文件删除操作时,如果文件重要程度低的,应直接删除【而不应该只删除数据库数据】
- 定时对目标文件夹进行检查,删除垃圾文件【例如已经没有关联到数据库的】
- 上传限制,针对同个用户,ip,时间点进行上传流量,大小限制
网友评论