Я разрешаю пользователям загружать файлы на мой сервер. С какими возможными угрозами безопасности я сталкиваюсь и как их устранить?
Скажем, я разрешаю пользователям загружать изображения на мой сервер либо из их системы, либо из сети. Теперь, чтобы проверить размер этих изображений, я должен хранить их в папке /tmp
. Разве это не рискованно? Как я могу свести к минимуму риск?
Также скажем, что я использую wget
для загрузки изображений из ссылки, которую пользователи загружают в мою форму. Сначала я должен сохранить эти файлы на своем сервере, чтобы проверить, действительно ли они являются изображениями. И что, если шутник дает мне URL-адрес, и я в конечном итоге загружаю весь сайт, полный вредоносного ПО?