一般我只检查后缀名,
比如上传abc.jpg,最后放在/xxx/xxx.jpg但是今天看见一篇文章
原理是一段代码制作成JPG图片,然后上传。
<img src="xxx.jpg">这时就执行代码?我百度了很久找到的都是10年前的资料,而且好像这个东西跟ASP相关的?
我想问这个PHP是否也有这个漏洞?
文件上传时只检查后缀是否安全?
比如上传abc.jpg,最后放在/xxx/xxx.jpg但是今天看见一篇文章
原理是一段代码制作成JPG图片,然后上传。
<img src="xxx.jpg">这时就执行代码?我百度了很久找到的都是10年前的资料,而且好像这个东西跟ASP相关的?
我想问这个PHP是否也有这个漏洞?
文件上传时只检查后缀是否安全?
解决方案 »
- PHP批量生成静态HTML的简单原理和方法
- php解析xml文件遇到的问题。
- 根据目录字符串生成一个目录树
- 正则表达式提取img的问题__在线等
- preg_match("#<a src=(['\"])?(?!\[\$ddd\])([^'\"<>]+\.gif)(\\1)>#is",$s,$ar); 其中的[$ddd]有问题,目的是为了匹配除[$ddd]之外的图
- 一个简单问题,送分题.
- 上传文件的问题
- 急!文件操作,字符串操作
- thinkphp5 抓取数据后一直显示是空
- php如何进行一段文字的匹配正确性
- 百度ueditor在本地测试一切正常,但是上传到服务器后上传图片时出现了问题?
- 如何判断该用户已经登录
die('提示!禁止提交。该图片含有禁止的代码'.str_replace('?', '\?', $m_err[0]).'。');
}
能不能给个简单的图片试一下,比如执行<?php phpinfo();?>
2.检查是否真实图片,jpg等要切尾,切尾就是了解图片格式,把图片尾段“额外”的字节扔掉,搜索一下能找到相关文章基本做好这两点就相对安全了,尤其第一点相当重要