我注意到,用戶一直在嘗試通過頭像圖片上傳來創建漏洞利用。當用戶向我反饋說他們從諾頓反病毒軟件獲得了一個聲明「HTTP可疑可執行映像下載」的通知時發現了這一情況。此警告引用用戶的頭像圖像。我認爲他們實際上並沒有以竊取信息或任何類似的方式取得任何成就,但我認爲如果洞被打開的時間足夠長的話,這可能是可能的。我使用PHP上傳圖像文件,並檢查上傳的文件是否爲png,jpg,bmp或gif。可執行圖像(PHP)的塊上傳
這是檢查它是否是一個圖像的代碼:
$allow_types = array('image/jpeg', 'image/png', 'image/gif', 'image/jpg', 'image/png', 'image/bmp', 'image/bitmap');
if (in_array($this->tmp_image['type'],
$this->allow_types)) {
return true;
}
和getimagesize可能是因爲它不會加載資源更好的選擇。 – buggedcom 2010-07-19 15:32:37