我允許用戶上傳圖片到我們的網站。我是否認爲我應該檢查文件.jpg/.jpeg/.gif的擴展名以及MIME類型以確保沒有上傳危險文件?
也應該在上傳時調整文件大小,以檢查它是一個實際的圖像文件,而不是重命名的exe或類似文件?例如,如果調整大小失敗,那麼它不是一個圖像文件。
有什麼其他形式的攻擊我應該防範?
編輯:圖像文件夾中還增加了一個.htaccess文件,以便PHP文件不能執行:
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
order deny,allow
deny from all
不依賴於用戶給你的任何東西;完全忽略並丟棄它們的文件名,包括擴展名。看看文件內容,確保它看起來像你想要的,如果可以的話,進一步消毒。然後生成您自己的安全文件名。爲了提高安全性,請考慮將其保存在網絡服務器的文檔根目錄之外,並僅通過您自己的腳本傳送文件。上面的問題 – Cheekysoft
現在重新打開。 – Cheekysoft