1、判断上传文件的扩展名和mimetype,还可以扫描 <?php 、 eval 之类的特征串。但这只是被动防御的方法。
2、上传的文件不要保存为原名,要保存为对方猜不到的文件名(如文件加盐hash或随机字符串+文件hash,不带扩展名),和原名一起保存在数据库里。
3、上传的文件要保存在Web服务器的http不能访问到,但PHP可以读出来的路径,或者干脆保存在内网另一台服务器上,而下载/使用的时候单独用一个PHP来读,向浏览器返回真实文件名(这样要支持分块下载就有点麻烦了)。同时要保证这个PHP、机器上php版本没有可以利用文件操作来执行任意代码的漏洞。
