我有用户输入的 HTML 内容存储在没有扩展名的文件、系统命名的文件夹而不是用户命名的文件中。
> file_put_contents($DBStoredFolder.'/'.$DBStoredFilename, $UserInputHtml);
检索内容并打印它的安全性如何?
> $content = file_get_contents($DBStoredFolder.'/'.$DBStoredFilename);
> echo '<html><body>'.$content.'</body></html>';
没有扩展名的文件只能通过固定路径上的 file_get_contents 访问然后回显,运行 PHP 代码吗?
我知道返回的 html 在浏览器上运行时需要保护,但这是另一回事。
一般没有办法回答这个问题。
如果您完全控制文件名(即,用户输入不可能干扰文件名),那么在该路径打开文件是安全的。
如果您完全控制文件的内容(即,它不可能是用户上传或用户编辑的文件),那么显示它是安全的。
如果您完全控制文件中的格式,并且可以确定它已经是 HTML,那么在显示之前无需对内容进行转义或清理。
然而,几乎总是,这些假设中的一个或多个并不是真正有效的。您如何应对不确定性完全取决于具体情况。一般来说,清理文件名,清理文件内容,清理显示,清理所有内容。
就我个人而言,我宁愿对我控制的文件名过于谨慎,也不愿冒着在没有意识到的情况下引入用户输入的风险。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句