Загрузка файлов
Меры предостороженности
- Предоставлять права 0770 или 0600 на папку для загрузок.
- Проверка файла с помощью таких PHP функций, как basename(), is_uploaded_file() и move_uploaded_file().
<?php
$_FILES['example']['error']==UPLOAD_ERR_OK;
- Игнорировать MIME type.
- Выключить выполнение в директории (с помощью .htaccess или настроек сервера).
- Расположить папку с загрузками вне WWW директории.
- Если пользователям разрешается загружать картинки (jpg,gif,png), следует проверять размер изображения с помощью функции getimagesize(). Если загруженный файл действительно является изображением, то функция вернет TRUE.