如何做好網站上傳功能的安全

日期：2013-10-31  來源：攀枝花惠康網絡公司

    網站安全不容忽視。網站發布于互聯網，每天將面臨各種考驗。網站程序的設計到編程，無時無刻要注意網站的安全。今天要說說的是做好網站上傳功能。

    網站，不可避免的需要用戶提交一些文件至服務器。然而，不是所有用戶都那么規規矩矩，叫他上傳圖片，他或許會給你上傳一個后門。因此做好好上傳功能的安全十分必要。

    那么，要如何才能做好網站上傳功能安全呢？筆者認為，可以從以下幾方面入手。

    1、網站程序嚴格控制好上傳的文件類型，文件大小。所謂文件類型，不能簡單的只考慮文件的擴展名稱。如php上傳，一定要限制文件類型，檢擦$_FILES["file"]["type"] 時候為我們規定的類型。有如，iis5.1曾經有個漏洞，多擴展名如x.asp;.jpg。

    2、做好用戶權限。如僅管理員可以上傳文件，普通用戶禁止上傳文件。

    3、做好web服務安全。上傳目錄僅允許寫入，不給執行權限。如：apache服務器直接禁用上傳目錄執行權限。

    最后，本文寫得太大太空。具體實際應用中一定要注意，多累積經驗。網站開發人員一定謹記，所有用戶上傳的文件都是不安全的。不能信任你的任何用戶。