1回答

TooooBug

2019-06-12

其实课程中都有说的。上传这个过程本身是不会有风险的（除非上传处理过程有漏洞，被溢出攻击等）。我们常说的上传的漏洞主要是指“上传后的文件，被当成程序运行”，也即被上传木马。

事实上像Node.js这样的脚本，你通过构造url或者构造post请求，一般情况下是不会随意加载文件运行的，因此风险很小。但是像PHP这样的脚本，它的访问是可以由url直接指定的，如果url指定到了上传的文件，而上传的文件又被当成PHP来执行，这就相当于攻击者直接把一个程序放到了你的网站上，这是相当危险的。

避免的方法在课程中也有讲。一方面可以通过权限控制来规避，另一方面也可以严格控制上传文件的读取，通过自己的程序来读取可以一定程度上规避这种风险。

0

0