如何做好网站上传功能的安全

日期：2013-10-31  来源：攀枝花惠康网络公司

    网站安全不容忽视。网站发布于互联网，每天将面临各种考验。网站程序的设计到编程，无时无刻要注意网站的安全。今天要说说的是做好网站上传功能。

    网站，不可避免的需要用户提交一些文件至服务器。然而，不是所有用户都那么规规矩矩，叫他上传图片，他或许会给你上传一个后门。因此做好好上传功能的安全十分必要。

    那么，要如何才能做好网站上传功能安全呢？笔者认为，可以从以下几方面入手。

    1、网站程序严格控制好上传的文件类型，文件大小。所谓文件类型，不能简单的只考虑文件的扩展名称。如php上传，一定要限制文件类型，检擦$_FILES["file"]["type"] 时候为我们规定的类型。有如，iis5.1曾经有个漏洞，多扩展名如x.asp;.jpg。

    2、做好用户权限。如仅管理员可以上传文件，普通用户禁止上传文件。

    3、做好web服务安全。上传目录仅允许写入，不给执行权限。如：apache服务器直接禁用上传目录执行权限。

    最后，本文写得太大太空。具体实际应用中一定要注意，多累积经验。网站开发人员一定谨记，所有用户上传的文件都是不安全的。不能信任你的任何用户。