Imagemagick Can ImageMagic'；在不可靠的输入文件上是否信任convert等命令？

我想知道用用户上传的文件为ImageMagic的

convert

命令提供信息是否可以（除了每天执行一百万次之外…）

显然，ImageMagic有很大的攻击面，因为它能够加载成吨的格式，从而使用大量代码处理输入数据

过多的CPU或内存消耗不会造成伤害，因为这可以通过简单的方法（例如通过

ulimit

）加以控制。但是，必须通过

convert

来阻止访问二进制文件或通过网络访问运行注入的代码。我们能期待吗

---

ImageMagic作者是否需要遵循一些程序，以提供足够的安全性，防止此类攻击？

此外：

convert

是否会删除恶意输入？例如，如果攻击者不以

convert

自身为目标，而是嵌入恶意数据，我们是否可以使用

convert

不传递它未知的数据？类似于删除除显示图像本身所需的有效数据以外的任何元数据。在写入输出文件之前，-strip选项将删除大部分元数据。这很酷，感谢您的提示。+此外，ImageMagick制作者自己声明他们存在安全问题，并对安全相关问题进行了大量检查。。。另外，ImageMagick通过

-limit

选项提供了某种ressource控制（该选项工作不太好，因为它们只限制某些缓存），

ulimit

将提供强大的限制。不过还是会有一些恶意的把戏，因为

convert

肯定需要访问一些文件才能操作。。。