Полностью безопасная загрузка php файла?

Question

Я читаю другие вопросы по теме.Я знаю, на что не стоит полагаться.

Я проверяю имя файла с помощью функции basename и отвечаю точками (кроме последней).Затем я получаю расширение файла с функцией разнесения и проверяю его с помощью черного списка, определенного мной.Мой вопросзачем нужен какой-то другой контроль?Даже если это вредоносный код php, (afaik) он не будет выполнен, поскольку его расширение не является php.В настройках php уже есть ограничения на размер файла.Итак, почему?

Answer 1

Есть 1000 ответов, почему бы и нет, но представьте себе следующее: я мог бы загрузить файл .htaccess, чтобы некоторые другие расширения обрабатывались PHP, поэтому я мог бы обойти ваши «только исполняемые файлы .php». Очень легко :)

Answer 2

Потому что вы никогда не знаете, насколько креативными могут быть злоумышленники. Как кто-то, кто сейчас изучает компьютерную и сетевую безопасность в университете, я могу сказать, что преподаватель каждую неделю дает мне невероятные примеры того, как легко можно неправильно использовать маленькую вещь, которую кто-то забыл сделать, установив защиту для случайной страницы. \ устройства.

Answer 3

эта ссылка полезна:

1- https://www.owasp.org/index.php/Unrestricted_File_Upload

2- http://www.acunetix.com/websitesecurity/upload-forms-threat/