[Из песочницы] Безопасная заливка файлов на сайт. Одно из тысячи решений
Сколько дискуссий было на Хабре по поводу опасности заливки файлов, обсуждались возможные уязвимости при заливке файлов и.т.д. Я тоже решил попробовать помочь в этом вопросе Вам, уважаемые читатели.Как Вы все уже хорошо знаете, самый надежный способ защиты при заливке файлов, это: 1. Переименовывать файлы в имена и расширения файлов независимо от входящего имени файла. 2. Отключить в папке, куда заливаются файлы, выполнение скриптов. Этот вариант отлично подходит для большинства случаев, когда заливаемый файл нужно использовать на сайте (например: аватар пользователя) и он требует записи в БД для привязки. Реализуется легко и об этом уже на Хабре есть статьи. Мы же с Вами рассмотрим ситуацию, когда нужно сделать безопасную заливку файлов, без использования БД, с сохранением оригинальных имен и с возможностью заливать что угодно (без каких либо ограничений) с последующей возможностью скачивания данных файлов по URL.Читать дальше →