使用php处理图像上传的最终决定是什么?
在读了很多文章之后。我会说,那么我应该怎么做才能通过文件上传保护我的网站免受黑客攻击呢 从这些链接:使用php处理图像上传的最终决定是什么?,php,image-processing,file-upload,security,image-uploading,Php,Image Processing,File Upload,Security,Image Uploading,在读了很多文章之后。我会说,那么我应该怎么做才能通过文件上传保护我的网站免受黑客攻击呢 从这些链接: 这意味着MIME是无用的,而扩展是可行的。但最终双方只是在争论,如果我是对的,双方都同意说MIME或扩展都有安全漏洞。那里有很多仇恨 这也就是说MIME也是无用的,扩展也不是傻瓜式的,因为HTML或JAVASCRIPT代码可以插入GIF图像文件(或其他文件),IE可能会误解这些代码,从而导致恶意代码的快速后门进入(我真的希望每个人都投票停止IE的使用。它就像是一个黑客浏览器。) 这意味着给文件一
- 有效的MIME类型
- 有效扩展名
- GETIMAGESIZE()检查
- 确保不可执行权限
- 重新处理图像
mime类型
很容易伪造,文件扩展名也很容易伪造。如果您需要关于文件类型的线索,请使用它们,假设用户是好人。不要依赖它.php
文件是否可执行?否。它们是否仍由web服务器处理?是是的,如果执行正确,4是防弹的。它不是用来识别图像是否正确,而是用来从图像文件中删除所有额外的数据。其他3个都是垃圾,尤其是第3个。所以在安全方面,4就足够了?你对#5有什么看法?对如何实现#4有什么建议吗?因为我不知道从哪里开始ne.@YourCommonsense您忘记将上载的文件放在web根目录之外,并且不允许用户直接访问该文件,而是使用passthru脚本将其代理给用户