Я разрешаю пользователям загружать файлы на мой сервер. С какими возможными угрозами безопасности я сталкиваюсь и как их устранить?
Допустим, я разрешаю пользователям загружать изображения на мой сервер либо из их системы, либо из сети. Теперь, чтобы проверить даже размер этих изображений, я должен хранить их в папке /tmp
. Разве это не рискованно? Как я могу минимизировать риск?
Также допустим, что я использую wget
для загрузки изображений по ссылке, которую пользователи загружают в мою форму. Сначала мне нужно сохранить эти файлы на моем сервере, чтобы проверить, действительно ли они являются изображениями. Кроме того, что, если шутник даст мне URL-адрес, и я в конечном итоге загружу весь веб-сайт, полный вредоносных программ?