ÇOK iyi yolu yükleme dizini webroot dışında olduğundan emin olmaktır. Sürece webserver orada okuma / yazma erişimi gibi iyi olacak - yürütülebilir yüklenenler hakkında hiçbir endişe. Bu tartışıldı here on stackoverflow.

En iyi bahis yüklenme üzerine dosyanın uzantısı doğrulamak içindir. O jpg / png / gif / etc değilse., Bunu reddediyorlar. Sürece Web sunucusu bir PHP dosyası gibi herhangi bir dosyayı yorumlamak şekilde hatalı olmadığı gibi, daha sonra bu yaklaşım ile çok az baş ağrısı ve gerçekten basit uygulama ile, zarar görmesini bitti.

Ve başka bir şey çöp - yüklenmekte olan dosyanın iyi huylu bir uzantısı (.. Gif, mp3, vb) sahiptir edin. Ekstra-sekrit koruma için, (ve de mağaza) dosya şifrelemek, sonra (ileride) bir veritabanında dosyanın özgün adını yakalayabilir. Yüklediği bu şekilde bir şey uploader tarafından dosya bulunamadı olamaz.

Bu kullanıcılar isterlerse yüklemek izin sadece tehlikeli. İzin ne sadece you karar güvenli olduğunu ve bir şey engellemek gerekmez.

i ne dosya türü yüklendiği örneğin kontrol yoksa o tehlikeleri olabilir düşünüyorum "Hacker" senin httpdocs şeyler tüm siler bir php dosyası yükler, ya da insanlar birçok veya büyük dosyaları yükleyebilirsiniz eğer.