PHP有一个ini设置"max_file_uploads",它可以防止一次上传超过给定数量的文件。默认值是20,可以更改为任何内容(我认为(。
考虑到还有"post_max_size"one_answers"upload_max_filesize",这到底能防止什么?我的意思是,如果我把这个限制改成像999这样的巨大限制,这样它就可以避开,同时把其他两个限制保持在某种合理的水平,我会遇到什么安全风险?
您可以将其视为深度防御,这是针对文件上传的一般威胁的额外保护层。
直接想到的是攻击者上传了许多非常小(或0字节(的文件。这些文件通常存储在临时目录(通常为/tmp(中,在许多文件系统上,一个目录中的文件数量是有限的,很多文件也会影响文件系统的性能。
这是一个你可以决定接受的风险,或者实施其他缓解措施,这样php设置就不会";挡道";。老实说,在许多应用程序中,这可能永远不会引起问题,但您需要意识到并做出明智的决定。在一些更高安全性的应用程序中,增加或删除此限制可能是不可接受的。