【发布时间】:2012-11-04 07:26:51
【问题描述】:
我找到了一种方法来清除注入代码中的图像,方法是使用 PHP GD 库向上传的图像添加一个非常小的透明图像,这将破坏注入的代码(有更好的方法吗?)。
但是如果有人在文本文件或任何扩展名中注入了代码,那么其他扩展名呢?攻击者可以在我的服务器中做什么以及如何防止这种类型的代码注入。
我正在编写文件上传脚本,但我对安全性感到很困惑 我搜索了很多,但没有任何帮助。
非常感谢您的帮助。
【问题讨论】:
-
将文件权限设置为仅读取所有上传的文件,这应该会有所帮助
-
"如何防止这种类型的代码注入?"不允许上传文件。
-
不允许上传文件!!这是一个文件上传中心
-
@infinity 我可以用 htaccess 做这个吗??
-
我对您的方法实际上破坏了恶意代码感兴趣。如下图所示阻止执行非常棒,但采取额外步骤将其移除似乎真的很酷。
标签: php file-upload