Upload file là một tính năng phổ biến nhưng có rủi ro bảo mật đáng kể — file độc hại có thể dẫn tới thực thi code, phát tán malware, hoặc xâm phạm hệ thống. Bảo mật upload đòi hỏi xác thực loại file, kích thước và nội dung, lưu trữ an toàn, và phục vụ file cẩn thận.
Rủi ro của upload file
Cho phép người dùng upload file rất nguy hiểm nếu không được bảo mật:
✗ File EXECUTABLE/script độc hại → có thể chạy trên server (vd upload một web shell /
script bị thực thi → xâm phạm server)
✗ Phát tán MALWARE (file được phục vụ cho người dùng khác)
✗ File quá lớn → từ chối dịch vụ (cạn disk/memory)
✗ Path traversal trong tên file (../../) → ghi đè file hệ thống
✗ File có loại/nội dung gây hiểu lầm (một .jpg thực chất là script)
