微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 后端开发 > php教程 > 正文

如何检测用户恶意上传的zip*,防止unzip引爆

php中文网
发布: 2016-06-06 20:51:29
原创
1931人浏览过

在Hackernews上看到这篇关于zip炸弹的文章 http://news.ycombinator.com/item?id=4...
我就想,用户要是上传了zip到服务器上,服务器傻傻的进行了解压,那岂不是崩溃了

在用户上传了zip文件后,解压前应如何进行检测防止悲剧重演呢?
最好以pythonphp为示例了,我想web语言都应该有这种风险吧

回复内容:

在Hackernews上看到这篇关于zip炸弹的文章 http://news.ycombinator.com/item?id=4...
我就想,用户要是上传了zip到服务器上,服务器傻傻的进行了解压,那岂不是崩溃了

在用户上传了zip文件后,解压前应如何进行检测防止悲剧重演呢?
最好以python、php为示例了,我想web语言都应该有这种风险吧

web 服务器一般不会自动解压 zip 吧,而邮件服务器的病毒检查组件一般会自动解压缩各类压缩文件,比如 amavisd-new,这也正是那篇文章中的情况。

Natural Language Playlist
Natural Language Playlist

探索语言和音乐之间丰富而复杂的关系,并使用 Transformer 语言模型构建播放列表。

Natural Language Playlist 67
查看详情 Natural Language Playlist
相关标签:
python php

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:javascript - 怎么在客户端验证判断发布的多条信息是不是来自同一个ip 下一篇:wordpress为什么一次性全部加载wp-include的文件,而不使用autoload
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
Laravel 数据库迁移:重命名列与插入新列的最佳实践 本文旨在解决Laravel数据库迁移中一个常见问题:在同一操作中重命名列后立即引用新列名添加新列会导致“列不存在”错误。文章深入剖析了错误原因,并提供了最佳实践方案,即通过将重命名和添加新列操作拆分为两个独立的Schema::table调用,确保数据库操作的正确执行顺序,从而避免潜在的错误。
2025-11-30 12:10:02
708
PHP中SSG-WSG API的AES加密实践:正确使用指定初始化向量 本文旨在解决在PHP中为SSG-WSGAPI进行AES加密时,因初始化向量(IV)使用不当导致的“FailedtoparseJSONrequestcontent”错误。核心问题在于开发者误用随机生成的IV,而API要求使用预设或提供的特定IV。教程将详细阐述如何正确配置openssl_encrypt函数,确保加密过程符合API规范,避免解析失败。
2025-11-30 12:09:33
590
Laravel Dusk:通过 DevTools 协议管理浏览器权限 在LaravelDusk自动化测试中,处理浏览器权限(如剪贴板访问)是常见的挑战。本文将详细介绍如何通过扩展DuskTestCase类,利用ChromeDevToolsDriver执行Browser.grantPermissions命令,从而在测试运行时程序化地授予特定权限。这将使开发者能够更全面地测试依赖于浏览器权限的用户界面功能,确保测试流程的顺畅与完整性。
2025-11-30 12:02:42
665
Laravel Eloquent:同时筛选父子表数据的教程 本教程详细阐述了如何在Laravel中利用EloquentORM同时对父表和子表数据进行筛选。文章将深入探讨两种核心方法:使用join子句进行直接数据库连接,以及采用whereHas方法实现更具Eloquent风格的关联查询。通过实际代码示例,您将学会如何根据父表的字段(如年份)和子表的字段(如标签ID)构建高效且可读的过滤逻辑,并集成到控制器和视图中。
2025-11-30 11:59:01
635
PHP中解析和遍历GeoJSON多边形坐标数据 本教程详细讲解如何在PHP中解析和遍历GeoJSON格式的多边形坐标数据。首先,利用json_decode()函数将JSON字符串转换为PHP可操作的数组结构。接着,通过多层数组访问和foreach循环,高效地提取出每个经纬度坐标对。文章提供示例代码,帮助开发者理解并应用于实际数据处理场景。
2025-11-30 11:55:00
155
Symfony异步邮件发送策略:从Messenger误用到Cron调度实现 本文探讨了在Symfony应用中实现异步邮件发送时,将服务直接路由到Messenger传输层可能导致邮件立即发送而非异步处理的问题。针对此场景,文章提供了一种基于数据库存储邮件任务、结合SymfonyConsole命令和Cron定时任务的解决方案,详细阐述了如何通过这种方式实现低量级、非实时邮件的调度发送,并提供了完整的代码示例和实现步骤。
2025-11-30 11:54:25
118
PHP中利用Carbon库高效获取月份的周起始与结束日期 本文将指导您如何在PHP中高效地获取指定月份或日期所在周的起始与结束日期。我们将重点介绍并推荐使用功能强大的`nesbot/carbon`库,它极大地简化了日期和时间的操作。通过详细的安装步骤、基础用法和核心功能示例,您将学会如何利用Carbon库轻松处理复杂的日期计算,包括遍历月份并获取其包含的所有周的精确范围,从而提升开发效率和代码可读性。
2025-11-30 11:54:06
747
如何使用正则表达式精确验证产品代码格式 本文详细介绍了如何构建一个精确的正则表达式,用于验证特定格式的产品代码,即前两位为大写字母,后四位为数字。文章分析了常见的正则编写错误,例如不当使用量词和字符转义,并提供了正确的表达式及其变体,包括[0-9]和\d的互换,以及在不同编程语言(如PHP)中使用时的注意事项,旨在帮助读者掌握正则表达式的正确应用。
2025-11-30 11:52:02
207
PHP获取相机快门次数:解析EXIF中的MakerNote数据 获取数码照片的快门次数通常无法通过PHP标准函数exif_read_data()直接获得,因为快门次数这类信息常存储在相机制造商专有的MakerNote区域。本文将深入探讨MakerNote的特性,解释为何标准EXIF解析器难以读取,并提供使用专业工具如ExifTool配合PHP获取快门次数的实用方法及注意事项。
2025-11-30 11:51:09
582
ActiveRecord批量更新策略:高效处理多列数据 本文深入探讨了在ActiveRecord框架下进行数据库批量更新的常见误区及优化方案。针对通过循环逐行更新的低效做法,文章提出并详细讲解了利用数据库层面单次查询进行批量更新的高效策略。通过代码示例和注意事项,帮助开发者理解如何避免性能瓶颈,实现更简洁、更可靠的数据批量操作。
2025-11-30 11:44:02
162
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部