上传文件漏洞防止: 1,检查上传文件扩展名白名单,不属于白名单,不允许上传 2,上传文件的目录必须时http请求无法直接访问到的,如果需要访问,必须上传到其他(和web服务器不同的)域名下,并设置该目录为不可执行目录。 3,上传文件要保存的文件名和目录名由系统根据时间生成,不允许用户自定义 4,图片上传,要通过处理(缩略图,水印等),无异常后才能保存到服务器 5,上传文件需要做日志记录。
下载文件漏洞防止: 1,要下载的文件地址保存至数据库中 2,文件路径保存至数据库,让用户提交文件对应id下载文件 3,下载文件之前做权限判断 4,文件放在web无法直接访问的目录下 5,记录文件下载日志 6,不允许提供目录便利服务
nginx默认不会开启目录浏览功能
