У меня есть PHP-скрипт, который позволяет пользователю загружать CSV, а затем вносить некоторые изменения через API.
Я использую fopen для открытия и доступа к файлу после его загрузки. Я проверяю размер, имя, наличие известных неправильных расширений и т. Д., Используя массив $_FILES при загрузке.
Данные являются просто сеткой идентификаторов и соответствующих кодов действий.
Это закрытая группа пользователей, и ничего из этого не включается) () 'ed или require ()' d из этого ввода, но я все еще обеспокоен тем, что при манипуляции с загрузкой может произойти что-то плохое.
if (($han = fopen($fileloc, "r")) !== false) {
while (($data = fgetcsv($han, 50, ",")) !== false) {
array_push($stack, $data); //
}
fclose($han);
}