文件说:
如果通过HTTP POST上传由filename命名的文件,则返回TRUE
怎么$_FILES['blah']['tmp_name']可能不是POST上传的结果?PHP创建了这个文件名.
$_FILES['blah']['tmp_name']
这有助于确保恶意用户没有试图欺骗脚本处理不应该工作的文件 - 例如/ etc/passwd.
我明白我应该仔细检查文件内容和大小.但是攻击者怎么能控制上传文件的临时文件名呢?
还是is_uploaded_file()做其他检查?
is_uploaded_file()
谢谢你放弃了一些亮点.
php
php ×1