這篇文章將為大家詳細講解有關web如何實現(xiàn)安全文件上存方法，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站建設、成都做網(wǎng)站、網(wǎng)頁設計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務。立足成都服務涪城,十余年網(wǎng)站建設經(jīng)驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:18982081108

這類漏洞，主要是可以讀取用戶傳入路徑名稱，采用不正確的過濾方法，導致惡意用戶，將文件上存到非預期的地方，帶來安全隱患。

其實，我們抓住幾個地方即可，我們先來分析下，既然用戶要上存文件，而且文件將是多種多樣格式；可能有的文件內容與用戶傳入格式不一致，有的文件內容還夾雜木馬代碼。 那么，我們讓用戶上存文件，跟站點文件做一個分別授權，做隔離。

讓保存上存目錄獨立開來，目錄權限只讀不能執(zhí)行
這一步從系統(tǒng)設計加以授權，無論你上次什么文件，都不可能執(zhí)行到。就算我不做任何檢測，你的文件都上存到這里了，也不會對我系統(tǒng)構成安全。（如果有用戶上存一些反動言語的圖片，那另外需要處理的）

不直接使用服務器傳入值，所有都要進行檢測
這類跟我們做一切輸入都是有害原則一樣，對于客戶端傳入的：type, name ，都要進行判斷，不直接使用。對于要生成到某個目錄，某個文件名。
文件名好方法是：自己寫死目錄（不要讀取傳入目錄），文件名，好自己隨機生成，不讀取用戶文件名。文件擴展名，可以取最右邊”.”后面字符。
以上2個方法，剛好從2個方面對上存做了整體約束。
方法2 ： 保存上存文件名，按照自己指定目錄寫入，并且文件名自己生成的。
方法1：只要保證文件寫對了位置，然后從配置上，對寫入目錄進行權限控制，這個是治本。可以做到，你無論上存什么文件，都讓你沒有權限跳出去可以運行。

以上2個方法，一起使用，可以保證文件正確存到地方，然后，權限可以控制。 這里順便說明下， 判斷用戶上存文件是否滿足要求類型，就直接檢查文件擴展名，只要滿足擴展名就讓上存。 反正，做了執(zhí)行權限限制，你不按要求上存內容，也無妨。 反正，不能執(zhí)行，也不會有多大危害性的。
正確步驟：
1.讀取文件名，驗證擴展名是不是在范圍內
2.自己定義生成的文件名，目錄，擴展名可以來自文件名擴展名。 其它值，都自己配置，不讀取上存中內容
3.將文件 移到新目錄(這個目錄權限設置只讀)

關于“web如何實現(xiàn)安全文件上存方法”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。

本文標題：web如何實現(xiàn)安全文件上存方法-創(chuàng)新互聯(lián)
分享網(wǎng)址：http://weahome.cn/article/dhhpph.html