そのままDBに格納することの危険性

• 2018/08/30

そのままDBに格納することの危険性

• 悪意のあるファイルがアップロードされた場合DBが危険に晒されてしまう。
• ウイルスが仕組まれていた場合システム全体を危険に陥れてしまう。
• 対象としていない拡張子も受け入れてしまうとウイルスをアップロードされる可能性がある。
• 意図的にサイズの大きいファイルをアップロードしサーバーサイドの遅延を引き起こす。

アップロード時の挙動

• アップロードされる前にJavaScriptなどでファイルの拡張子登録を判定しておく。(JSはブラウザでOFFにせっていできてしまうため必ずサーバーサイドでもチェックを行うこと)
• ウイルスチェックを行うため一時格納場所を設定し(OS側で)ウイルスチェックを行う。
• ウイルスが発見された場合は直ぐに破棄する。

最後に

• 拡張子は偽装簡単なので注意！