几年前我为一家小公司写了一个网站,当时我正在读书。我意识到我的安全技能并不如他们应该得到的那样好,最近这个网站被黑客攻击了,并且恶意的php代码被上传了一个用于图片上传的表单。保护文件上传
我已经转向.NET世界,虽然我知道如何在.NET中保证文件上传,但我真的不知道如何使用PHP来完成。很抱歉,我无法提供任何源代码,因此我不希望任何人为我的代码发布任何直接修复。
我希望有人能向我展示一种很好的服务器端分析方法,以确保上传的$ FILES数组内容实际上是一个图像或音频文件,或者至少它不是一个php文件。
用mime_content_type()可以检测到文件模式类型(可靠的类型)http://php.net/manual/en/function.mime-content-type.php – 2012-02-19 23:18:04
参见http:// www.php.net/manual/en/book.fileinfo.php – 2012-02-19 23:18:33
@迈克尔 - 但不是足够可靠的安全性。仍然存在内容嗅探攻击,GIFAR攻击等的风险。 – 2012-02-20 06:35:57