平时我发现,有很多网站都不提供gif图片的上传,之前在对网站进行安全检查的时候也发现了一些gif图片中暗藏代码,竟然还可以执行!
记得我用文本编辑器打开图片,在图片的最后,发现了php的一句话木马,我想请问,这类问题如何解决?
如果保证/防范图片(或文件)上传中可能存在的安全隐患?
敬谢!
回复内容:
平时我发现,有很多网站都不提供gif图片的上传,之前在对网站进行安全检查的时候也发现了一些gif图片中暗藏代码,竟然还可以执行!
记得我用文本编辑器打开图片,在图片的最后,发现了php的一句话木马,我想请问,这类问题如何解决?
如果保证/防范图片(或文件)上传中可能存在的安全隐患?
敬谢!
- 上传的时候不依靠
Content-Type来做文档类型验证,可以参考我在这里的回答如何判断浏览器上传文件的真实类型? - 上传的图片文件放到web 目录外的地方,限定好权限,图片展示的时候,可以使用另一个域名。
- 强制服务器给静态文件发送正确的文件头,避免图片中的代码被执行 参考http://nullcandy.com/php-image-upload-security-how-@本文9来源gao($daima.com搞@代@#码8网^搞代gaodaima码not-to-do-it/
<code>ForceType application/octet-stream ForceType image/jpeg ForceType image/gif ForceType image/png</code>
搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:php 如何确保上传图片的安全
转载请注明原文链接:php 如何确保上传图片的安全
