我有一个 PHP 脚本,允许用户上传 CSV,然后通过 API 进行一些更改。
我使用 fopen 打开并访问上传后的文件。我在上传时使用
$_FILES
数组检查大小、名称、是否存在已知的不良扩展等。
数据只是 ID 和相应操作代码的网格。
这是一个封闭的用户组,并且此输入中没有包含)()'ed或require()'d,但我仍然担心通过操纵上传可能会发生一些不好的事情。
if (($han = fopen($fileloc, "r")) !== false) {
while (($data = fgetcsv($han, 50, ",")) !== false) {
array_push($stack, $data); //
}
fclose($han);
}