上傳的圖片

Question

我正在讀這篇文章關於如何從攻擊保護我的網站進行安全處理我停在這行，我試圖找出他們的意思是它

你不能靠文件擴展或MIME類型來驗證該文件是圖像 ，因爲這些可以很容易地僞造。即便在打開文件和讀取頭，或使用 功能檢查圖像尺寸不充分證明。大多數圖像格式允許存儲 註釋部分，其可能包含可以由服務器執行PHP代碼。

它們是什麼意思大多數圖像格式允許存儲評論部分？

鏈接：http://www.netmagazine.com/features/10-essential-security-tips-protect-your-site-hackers

Answer 1

嘛，就像你可以存儲MP3文件的註釋中，有很多的圖像格式也使空間評論。評論只是一小段描述文件的文本。

很多應用程序現在只能從很多不同的文件類型中提取一點點信息，風險在於，您的PHP代碼在從圖像文件中提取評論（相對簡單的任務）時可能會冒着將評論中存儲的任何PHP代碼整合到您的PHP代碼中的風險。

從本質上講，這利用了PHP的錯誤，一種類似於SQL注入漏洞。大多數HTTP服務器，但是，發送圖像時，送他們爲二進制，所以你不必太擔心網絡上的頁面是一個威脅的圖像文件。

只要確保所做的任何圖像工作都不會嘗試解釋註釋部分，而是通過格式化程序/清理程序將其傳遞，以確保圖像評論部分的內容（如果已檢索到）不僅僅插入在顯示它的時候進入HTML。