7-8その他のセキュリティTips470 ファイルアップロード処理の危険性と対策を理解する
Level2
Point公開ディレクトリのファイルアップロードに潜む脆弱性に注意する
ファイルアップロード処理を実装する時は、Web上に公開されているディレクトリにアップロードファイルを置かないよう注意します。
例えば、下記のようなアップロードフォームがあったとします。
<form action="" method="post" enctype="multipart/form-data">
<input type="file" name="photo" />
<input type="submit" value="送信" />
</form>
また、このアップロードフォームのリクエストを処理するPHPファイルスクリプトが以下であったとします。
if (is_uploaded_file($_FILES["photo"]["tmp_name"])) {
if (move_uploaded_file($_FILES["photo"]["tmp_name"], "files/" . $_FILES["photo"]["name"])) {
echo $_FILES["photo"]["name"] . "をアップロードしました。";
}
}
こ
この記事は会員限定です。会員登録をすると続きをお読みいただけます。
ログイン / 新規登録