Sta memorizzando un'immagine al di fuori della radice del web server con un nuovo nome ed estensione (ad es. usando move_uploaded_file($_FILES['userfile']['tmp_name'],'../uploads/'.date('U').'png')
- non esattamente questo, ovviamente, poiché date('U')
non è univoco, e il file di caricamento dovrebbe essere eseguito dal webserver root) e caricandolo con readfile()
sufficiente per proteggere un modulo di caricamento dell'immagine? In caso contrario, quali tipi di attacchi potrebbero superare questo (ad esempio eseguire codice php arbitrario, eseguire javascript sul client ecc.)?