1. Authentifiziere jeden Upload

Vermeide Verwendung von Upload-Funktionen in anonymen Bereichen

Stelle Upload-Funktionen nur angemeldeten Benutzern zur Verfügung

2. Speichere Dateien in einer Datenbank

Dient zum ausschließen von verschiedenen Angriffen im Zusammenhang mit hochgeladenen Dateien

z.B. Path Traversal

3. Erstelle eine neue Datei für jeden Upload

Der Dateiname sollte vom System selbst generiert werden

Dateiname muss eindeutig sein

Eine Datei darf niemals eine andere überschreiben

4. Speichere Dateien außerhalb des Document Roots

Besser geeignet ist ein separater Bereich auf einer eigenen Partition oder gleich ein separates Upload-System

5. Verwende restriktive Dateiberechtigung

Lege Dateien so ab, dass sie sich nicht ausführen lassen. 

z.B. mittels des Unix-Kommandos "chmod 0644"

6. Limitiere die Größe hochgeladener Dateien

Beschränke die maximale Größe auf einen sinnvollen Wert!

7. Limitiere die Anzahl hochgeladener Dateien

z.B. max. 8 Dateien innerhalb einer Stunde

8. Vertraue nicht auf Dateierweiterungen

Prüfe eine Datei auch auf ihren Inhalt. (Auf Unix-Systemen mit dem Kommando "file" möglich)

Lasse nur ungefährliche Datentypen wie PNG zu.

Lasse alle hochgeladenen Dateien durch ein Antiviren-Programm scannen.