我开发一些服务器端代码与PHP/MYSQL,需要用户认证。安全地上传图片
当用户创建一个新帐户,我做的所有标准的哈希+盐东西哈希存储在数据库中,但我不知道做什么用,他们需要上传scaned ID做。
我的意思是,如果你创建你的个人数据的账户,一部分(姓氏,姓名,地址,...)是物理身份证复印件scaned(图)(驾驶证,... )和我关心如何妥善处理这些敏感的图像。
如果你们能指引我正确的方向或给我一些提示,我将不胜感激。
谢谢你的时间!
编辑:
哇,你们真棒,快!
ID的存储是强制性的,我希望我能workarround莫名其妙,但我不能。
我会根据您的建议授予访问权限,并尝试删除并存储在CD中,或按照您的建议存储。
我正在考虑用一些加密来加密二进制数据,但不知道它是否是一个好主意。
如果您只是简单地处理文件就没有危险。我只是简单地将它们存储在网络根目录之外。您不会因为将它们存储在数据库中而自动获取安全性。 –
总是将存储的文件重命名为md5字符串(或其他)。所以他们不能访问上传的文件名了。使用加密名称将原始名称存储到dbase中。 可以确定通过imagecreate()来修剪它。并检查MIME类型(不是防弹的!) –
@RONnieJespersen:没有“*无危险*”之类的东西。对于攻击者来说,安全只能使攻击目标更加困难*完成任何事情都是不可能的。人们希望能够实现的最好目标是实现一个难以实现的目标,即攻击者所关心的攻击者在他们完成任何有用的事情之前耗尽他们的资源(时间,金钱,计算能力等)。为了实现这一目标,需要确定攻击者所关心的人,量化他们的资源并确定什么才算“有用的成就”。 – eggyal