安全修复--任意文件上传_任意文件上传漏洞修复建议

任意文件上传修复注意点如下：

• 1.文件大小的合理限制 （通用5M大小限制，具体可根据业务需求设置）
• 2.白名单检查文件扩展名
• 3.确保文件名不包含任何可能被解释为目录或遍历序列 ( ../) 的子字符串
• 4.重命名上传的文件以避免可能导致现有文件被覆盖的冲突
• 5.隐藏上传文件路径
• 6.病毒扫描 （影响性能，根据客户需要设置）
• 7.上传文件的存储目录禁用执行权限
• 8.在完全验证之前不要将文件上传到服务器的永久文件系统.
• 9.内容检测要求：

        A. 文件类型根据具体业务需求设置白名单
             例子：人员头像（限制上传图片格式）、考勤表单（pdf或者图片格式） 
        B. 文件类型建议不要有txt文件上传，除业务需求例外。
        C. 文件上传的内容和文件上传的扩展名一致。      

通用白名单文件类型： 
图片类型： jpg、jpeg、bmp、png、gif
文件类型： pdf、doc、docx、xls、xlsx、xlsm，xlt、xltx、ppt、pptx
文本类型： txt（特例情况使用，尽量不要设置该白名单）