【发布时间】:2010-07-21 06:05:07
【问题描述】:
我正在上传图片以防止任何嵌入的恶意代码。我这样做对吗?
但是,我的主要问题是如何真正做到这一点,因为我以前从未使用过 ImageMagick - 我刚刚将它安装在我的服务器上。
【问题讨论】:
-
标题中不需要
[PHP],这就是标签的用途。
标签: php imagemagick security
【发布时间】:2010-07-21 06:05:07
【问题描述】:
图像中的任何代码都不应该能够在您的服务器上自行执行。除非您实际上根据请求解析图像以获取代码(永远不要这样做),否则仅提供图像(当然不要在任何代码中include()它们),只需将它们添加到浏览器中,您就会变得更好和更有效率,并且让杀毒软件在后台扫描新上传的图片,比如clamav。
【讨论】:
-
好吧,我也这么认为,但在这个问题中:stackoverflow.com/questions/1485419/… 似乎存在图像中代码执行的主题。代码是由服务器执行还是由用户执行并不重要,因为我也是用户,黑客可能会劫持我的管理员帐户。
-
图像中的代码执行只有在您尝试执行图像时才会发生。不要那样做,也不要在图像上设置可执行位,你很好。只是不要成为不喜欢将 .php 扩展名添加到文件名并通过解释器抛出所有内容的懒惰的草皮。