每个专业的 PHP 开发者都知道用户上傳的文件都是极其危险的不论是后端和前端的黑客都可以利用它们搞事情。

我决定写一篇文章用户  问了一个棘手的问题:

尽管我将其重命名为 '/// * 检查某个路径是否在指定文件夹内。若为真返回此路径，否则返回 false /* 不能使用 empty() 因为有可能像 "0" 这样的字符串也是有效的路径 */ // 文件路徑比文件夹路径短，那么这个文件不可能在此文件夹内 // 文件夹的路径不等于它必须位于的文件夹的路径。

• 必须过滤用户输入文件名也屬于用户输入，所以一定要检查文件名记得使用 basename() 。
• 必须检查你想存放用户文件的路径永远不要将这个路径和应用目录混合在一起。文件路径必须由某个文件夹的字符串路径以及 basename($filename) 组成。文件被写入之前一定要检查最终组成的文件路径。
• 在你引用某个文件前必须检查蕗径，并且是严格检查
• 记得使用一些特殊的函数，因为你可能并不了解某些弱点或漏洞
• 并且，很明显这与文件后缀或 mime-type 无关。JPEG 允许字苻串存在于文件内所以一张合法的 JPEG 图片能够同时包含合法的 PHP 脚本。

不要信任用户不要信任浏览器。构建似乎所有人都在提交病毒的后端

当然，也不必害怕这其实比看起来的简单。只要记住 “不要信任用户” 以及 “有功能解决此问题” 便可

---