Citat:
Ursprungligen postat av Jim_Westergren
Jag har funderat att lägga filuppladdningen på en helt annan domän och annan server så att det inte kan störa innehållet på N.nu på något sätt, är det en bra tanke?
|
Ja om det går, speciellt att flytta uppladda filer till en statisk server som inte kör php.
Tänk även på att det går att göra en fil som både är en bild och php skript samtidigt,
så eventuella checkar med t.ex "imagefilesize" med GD är alltså inte helt säkert.
Det viktigaste för filuppladdning är att användarna inte kan nå en uppladdad fil via en url.
Så att lägga filen utanför wwwroot eller blockera åtkomst till upload katalogen är bra..
Att även skapa ett slumpat namn på fil och tex spara namnet i en databas är bra,
detta samtidigt som man levererar bildfilen till webbläsaren med php.
<img src="bild.php?id=1">
På så vis kan man inte exekvera eventuell php kod i en bild fil eller göra file inclusion attacker..