我讀過exif_imagetype是安全的功能,可以避免上傳php或其他shell代碼而不是圖片文件。最近我讀了另一篇文章,我們可以通過一些簡單的方法繞過這個安全功能。所以如果有人知道確切的方法繞過可以分享你的答案。如何繞過exif_imagetype函數上傳php代碼?
我用下面的在我的PHP腳本代碼,所以我想知道這是脆弱的或不和補救相同
if (! exif_imagetype($_FILES['upload']['tmp_name']))
{
echo "File is not an image";
}
手冊的第一行說:*「exif_imagetype()讀取圖像和檢查的第一個字節它的簽名。「* - 因此欺騙前幾個字節看起來像一個圖像簽名將做到這一點。 – deceze
你需要這樣做的現實世界是什麼? –
如果您正確處理圖像,則不管代碼是否在圖像中,都不會執行任何代碼。這可能是偶然的,一個圖像文件包含序列'' – hek2mgl