docker容器如何保证安全？

安全是相对的。你程序允许了用户上传了，那换docker也能上传啊

需要考虑的很多

限制文件解析/执行，读写权限限制，sql 插入数据限制，文件上传限制等等

楼上老哥说的对，程序内部存在文件上传接口，换到 docker 也是一样的；建议排查下程序代码，看看是哪里允许文件上传的，可以找个免费的 waf 挂上，能有效拦截一些非法请求

如果权限没有限制好，上传文件在容器中也有可能会执行。

我觉得楼主的意思是，docker 可以和宿主隔离，就算漏洞没解决，也可以减少损失

使用容器比在宿主机上运行要好一些，毕竟环境隔离了， 再怎么破坏也是有限的。

容器是可以穿透至物理主机的（容器不是虚拟机），还是建议排查下程序的代码看看哪里的问题，或者可以选择没有shell的容器，这样别人就很难执行脚本。