一般我只检查后缀名,
比如上传abc.jpg,最后放在/xxx/xxx.jpg
但是今天看见一篇文章
原理是一段代码制作成JPG图片,然后上传。
这时就执行代码?
我百度了很久找到的都是10年前的资料,而且好像这个东西跟ASP相关的?
我想问这个PHP是否也有这个漏洞?
文件上传时只检查后缀是否安全?
回复讨论(解决方案)
php也一样,上传以后,最好先判断是否是真实的图片文件,然后弄个透明水印上去,相当于“破坏”原图
php也一样,上传以后,最好先判断是否是真实的图片文件,然后弄个透明水印上去,相当于“破坏”原图
如何判断
加水印暂时没有这个考虑
不安全…
一般我只检查后缀名,
比如上传abc.jpg,最后放在/xxx/xxx.jpg
但是今天看见一篇文章
原理是一段代码制作成JPG图片,然后上传。
这时就执行代码?
我百度了很久找到的都是10年前的资料,而且好像这个东西跟ASP相关的?
我想问这个PHP是否也有这个漏洞?
文件上传时只检查后缀是否安全?
php也一样,上传以后,最好先判断是否是真实的图片文件,然后弄个透明水印上去,相当于“破坏”原图
如何判断
加水印暂时没有这个考虑
百度就有啊。。。
原来还有这样的问题啊。。长见识了!
不安全…
应该检查哪些项目?
百度就有啊。。。
getimagesize?
if (preg_match(‘/<\?php|eval|POST|base64_decode|base64_encode/i’, @file_get_contents($_FILES[‘uploadfile’][‘tmp_name’]), $m_err)) {
die(‘提示!禁止提交。该图片含有禁止的代码’.str_replace(‘?’, ‘\?’, $m_/本文来源gao@!dai!ma.com搞$$代^@码5网@搞代gaodaima码err[0]).’。’);
}
if (preg_match(‘/<\?php|eval|POST|base64_decode|base64_encode/i’, @file_get_contents($_FILES[‘uploadfile’][‘tmp_name’]), $m_err)) {
die(‘提示!禁止提交。该图片含有禁止的代码’.str_replace(‘?’, ‘\?’, $m_err[0]).’。’);
}
能不能给个简单的图片试一下,比如执行<?php phpinfo();?>
1.你把所有存放图片的目录权限都设为“可读可写不可执行”,包括临时存放的目录也是
2.检查是否真实图片,jpg等要切尾,切尾就是了解图片格式,把图片尾段“额外”的字节扔掉,搜索一下能找到相关文章
基本做好这两点就相对安全了,尤其第一点相当重要
转载请注明原文链接:关于图片上传安全的问题
