ファイルアップロード・ダウンロードのセキュリティ

「php」「javascript」「html」「css」なら 掲示板のようにコピペでソースを投稿してもらってそれをコピペで貰う形でいいと思いますよ

アップロード、ダウンロードでアクセスできる範囲を制限しておくのは当たり前ですが、あとはクロスサイトスクリプティング脆弱性でしょう。 前者について、もっと具体的に説明すると、ユーザーが与えたpath名をそのまま使用しないことです。プログラムがあるところにアップロードできたらプログラムの改変は可能ですし、任意のファイルをダウンロードできたらサーバーの秘密の情報は全て筒抜けになります。 後者については、JavaScriptをアップロードされた場合、同一ドメイン原則の制限をすり抜けるので、コードはあなたのドメインのものとして実行されてしまいます。ファイルはプログラムがあるドメインとは別のドメインからダウンロードできたほうが良いです。また、ファイルをダウンロードするときに時刻と秘密の鍵から作ったチケットのようなものがないとダウンロードできないようにしておくのも良いでしょう。 サービスの信頼性という意味で言うと、DoS攻撃対策も必要です。ユーザーごとのファイルをアップロードできる容量、ダウンロード出来る容量、アクセスの頻度について制限を設けておいて、超えた場合は絞れるようにしたほうがよさそうです。 広い意味でセキュリティを捉えるなら、著作権の管理も必要ですね。 拡張子チェックというのはセキュリティ対策というより、アップロードできるファイルの種類を制限するためのものですよね？

アップロードされたphpファイルがサーバーで実行されれば、サイトの乗っ取りやファイル改ざん、メール送信なども自由にできます。 「http://アップロードしたファイルのURL」でファイルに直接アクセスできないようになっているか、 直接アクセスできても、サーバーサイドアプリケーションとして実行しないようになっていれば、 セキュリティー対策としては十分だと思います。

拡張子チェックより、PHP5.3 から標準実装されている Fileinfo を使ったほうがより正確です。 http://www.php.net/manual/ja/function.finfo-file.php 最も、「php」「javascript」「html」「css」などはすべて text/plain で返されるので、 あわせて拡張子チェックをするのもありですが。