نکات تجربی در رابطه با امنیت در آپلود کردن فایل ها

بروزرسانی شده در ۲۷ آذر ۱۳۹۹
نکات تجربی در رابطه با امنیت در آپلود کردن فایل ها
زمان مطالعه : 4 دقیقه 89 بازدید 0 نظر

امنیت سایت هنگام آپلود فایل ها بسیار مهم است و شما باید تمام موارد را در نظر بگیرید تا امنیت آپلودر خود را تا جایی که ممکن است بالا ببرید

در این مقاله قصد دارم تا بصورت تجربی چند نکته را در رابطه با امنیت فایل ها شرح دهم.

فرض کنید یک وب سایت طراحی کردیم و مطمئنا نیاز داریم تا در بخش های مختلف وب سایت خود عملیات بارگذاری فایل ها را انجام دهیم، این فایل ها میتواند تمامی پسوند های موجود از جمله jpg|png|gif|mp3|mp4 باشد.

در امنیت فایل لازم است نکات زیر را رعایت کنیم.


چه پسوند هایی اجازه آپلود دارند؟

ما در هر بخش از وب سایت فایل هایی با پسوند های مختلف را بارگذاری میکنیم، برای مثال در قسمت تصویر پروفایل کاربر پسوند های jpg|png|gif|webp|jpeg را بارگذاری میکنیم. پس مهم است که در این قسمت فقط اجازه آپلود کردن این پسوند ها را قرار دهیم و کاربر اجازه بارگذاری فایل هایی با پسوند های دیگر مثل zip|txt|pdf و سایر پسوند ها را نداشته باشد. برای بررسی فایل های آپلود شده تنها به بررسی نام فایل بسنده نکنید و حتما نوع آن را هم بررسی کنید.


چه کسانی اجازه آپلود دارند؟ کابران مهمان یا اعضای سایت

بررسی کنید که در هرصفحه چه کسانی اجازه بارگذاری فایل را دارند برای مثال در صفحه پروفایل فقط کابرانی که در سیستم لاگین کرده اند میتوانند آپلود را انجام دهند و در صفحه تماس با ما کاربران مهمان هم اجازه بارگذاری را دارند.


برای آپلود محدودیت تعداد و یا حجم بگذارید؟

بررسی کنید که کاربران چند فایل میتوانند بارگذاری کنند برای مثال میتوانید در فرم تماس با ما امکان اضافه کردن ۳ فایل را بگذارید.

همچنین بررسی کنید که فایل های آپلودی باید چه حجمی داشته باشند و اگر حجم آنها بیشتر از محدودیت شما باشد اجازه بارگذاری نداشته باشند.


چه صفحاتی اجازه آپلود دارند؟

اگر قرار است کاربر تصویر پروفایل خود را بارگذاری کند بررسی کنید که فایل را از چه لینکی برای شما ارسال میکند. قطعا باید این لینک همان لینک پروفایل شما باشد. این مورد را میتوانید با استفاده از متغیر زیر در php بررسی کنید.

<?php $_SERVER ?>


کلید امنیتی بسازیم تا امنیت بیشتر شود

کلید های امنیتی را در سمت سرور ایجاد کنید و پارامترهای مجاز را بصورت یک آرایه در آن ذخیره کنید.

مثلا کلید profile را درنظر بگیرید و شرط های زیر را در آن بررسی کنید

پسوند های مجاز : jpg|png|gif|webp|jpeg
حداکثر حجم فایل : 2 مگابایت
مسیر ذخیره فایل ها :‌ در پوشه uploads/profile
فقط افرادی که لاگین کرده اند اجازه آپلود را دارند

در اینجا باید همراه با درخواست خود کلید امنیتی را هم ارسال کنیم، ابتدا بررسی می کنیم که کلید دسترسی ارسال شده برای کاربر ایجاد شده است که اگر ایجاد شده بود اجازه بارگذای فایل را میدهیم.

میتوانیم برای کلید های امنیتی زمان مشخص کنیم مثلا این کلید برای کاربر شماره یک به مدت یک ساعت فعال می شود.


برای اطلاع از بروزرسانی های این مطلب ایمیل خود را وارد کنید


با عضویت در خبرنامه می توانید از جدیدترین مقالات، اخبار و تخفیف های ویژه در ایمیل خود با خبر شوید...