首页 > tips, TroubleShooting > 为嘛一般网站都不让用户上传rar的文件

为嘛一般网站都不让用户上传rar的文件

2011年3月5日 发表评论 阅读评论

在lamp的系统里
如果用户上传了各文件叫xxx.php.rar
而这个文件能够被访问的话
很大程度上这个文件会被当作php程序执行!!
原理据说是apache不认识rar的mime type
就会去找倒数第二个扩展名,也就是php的mime type作为这个文件的mime type
如果这台机器上装了apache模块儿mod_php的话
这是会被当作php程序执行的

而恰恰在大多数系统里
mime.conf中并没有关于rar的解释
所以xxx.php.rar就会被当作php程序来执行了

所以
一般网站就算允许用户上传文件,也不允许上传rar文件。

所以,要做用户上传文件类型校验,或者强行改变文件名

分类: tips, TroubleShooting 标签: , , , ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.