[PHP-users 17085]Re: $_FILES['xxxx']['tmp_name']は信頼していいの？

[いちろう たこす]

こんにちは、タコスです。


>つまり、is_upload_file()でチェックする必要はありません
。
なるほど、ファイルをどこかに移動させて処理する場合はmove_uploaded_file
の戻り値でアップロードされたか判断できるからいらないわけ
ですね。ただし、例えば一時的に/tmpにアップロードされたフ
ァイルをデータベースに保存したりする場合は別にファイルを
移動させる必要はないからis_upload_fileで確認すればよいっ
てことか・・なるほど。
勉強になりました。

>ファイルアップロードアタック対策がされているのでこの関
数を使っていれば大丈夫です。
なるほど。

>おかしなファイルをアップロードされないよう必ずMIMEタイ
プはチェック
あ、これやってなかったです。$_FILES['userfile']['type']
しかMIMEに関してはチェックしてないんですが大丈夫でしょう
か？


__________________________________________________
Do You Yahoo!?
Yahoo! BB is Broadband by Yahoo!
http://bb.yahoo.co.jp/