Безопасный файл для загрузки

Question

У меня есть загруженная в файл система в моем проекте php.

Что делать при загрузке:

1) Проверьте расширение файла и тип файла мим.

2) Если расширение и типа MIME разрешено типов, я сохраняю файл вне public_html каталога, а затем, я даю возможность пользователям, скачать файл так:

 if (file_exists($file_path)) { 
      header('Content-Description: File Transfer'); 
      header('Content-Type: some mime type'); 
      header('Content-Disposition: attachment; filename=somefilename'); 
      header('Content-Transfer-Encoding: binary'); 
      header('Expires: 0'); 
      header('Cache-Control: must-revalidate'); 
      header('Pragma: public'); 
      header('Content-Length: ' . filesize($file_path)); 
      readfile($file_path); 
    } 

Вопрос: это шаги для загрузки файла , безопасны или нет? Если нет, что может сделать дополнительно, для повышения безопасности при загрузке файла?

Спасибо.

Answer 1

• Проверка типа MIME не помогает вообще, поскольку эта информация может быть создана.
• Это зависит от того, как вы проверяете расширение файла и что вы делаете с этой информацией. Попробуйте использовать «белый список» для расширения файла вместо «черного списка».
• Перемещение его за пределы public_html - хорошая идея, также попробуйте переименовать файл и просто добавьте расширение к нему.
• Будьте предельно осторожны со сжатыми файлами, вы можете закончить работу с некоторой zipbomb или что-то в этом роде.
• Будьте осторожны с файлом, если вы собираетесь выполнять с ним какую-то операцию, например, изменение размеров изображений. Помните, что вы имеете дело с пользовательским вводом, который будет взаимодействовать с вашим кодом, и его можно было бы использовать для использования вашего кода (например, уязвимости выполнения кода).

Также попробуйте прочитать this article, это даст вам полезную информацию, которую вы, возможно, раньше не имели.