سلام
چطور میتونم تشخیص بدم که فایل ارسالی در قالب zip هستش.
از fileType نمیتونم استفاده کنم به دو دلیل
یک اینکه قابل دستکاری هستش و امن نیست
دو اینکه برام پیش اومده که به ویندوز ۷ و مرورگر موزیلا fileType خالی بیاد سمت سرور و نشه از روی fileType نوع فایل رو تشخیص داد.
با تشکر
میتونید پسوند فایل رو هم سمت کاربر و هم سمت سرور چک کنید.
آخه باز این هم مطمئن نیست و به راحتی میشه فایل های غیر مجاز رو با کمی دستکاری ارسال کرد روی سرور.
الان سایت برنامه نویسان همین قسمت پایین که میشه فایل ضمیمه کرد چطور کنترل میشه که فایل غیر از zip , rar ارسال نشه ؟!
تو سرور یک بار چک میشه پسوند پسوند فایل جزئی از پسوند های معتبر هست یا خیر، در صورت معتبر نبودن بازگردانی می شود، در کل اگر کاربر پسوند را فایل خودش را فقط به zip تبدیل کند شما باید محتوای فایل رو چک کنید برای این کار میتونید از فریم ورک هایی که یک فایل را از فشرده سازی خارج می کنند استفاده کنید و توسط آنها به معتبر بودن فایل پی ببرید. توصیه بنده اینه که تنها کافی است پسوند را در سرور چک کنید چون فایل zip قابل اجرا یا excutable نیست.
ببینید الان من یه عکس رو مثلا زیپ کردم و براتون فرستادم و این یه مشکل امنیتی بزرگی هستش.
به همین راحتی میتونم یه ویروس بفرستم روی سرور شما و اجراش کنم و ادامه ماجرا!
در جواب قبلی توضیح دادم:
" در کل اگر کاربر پسوند را فایل خودش را فقط به zip تبدیل کند شما باید محتوای فایل رو چک کنید برای این کار میتونید از فریم ورک هایی که یک فایل را از فشرده سازی خارج می کنند استفاده کنید"
هیچ کاربری تا کنون از این پست تشکر نکرده است
با ما تماس بگیرید تا در این مسیر همراهتان باشیم :)
