0
我正在製作一個使用Zend Framework的PHP圖片上傳器,它將圖片上傳到公共目錄,供人們自由訪問。如何製作安全的php圖片上傳器?
我迄今實施這些措施的安全性: - 文件大小驗證 - 擴展驗證 - Mime類型驗證 - 一旦成功確認文件被重命名與在公共文件夾中的形象延伸,即/圖片/上傳/ ...
這是否足夠安全?無法運行它通過一些防病毒腳本你可以(這是必需的)?
A
回答
0
文件擴展名和MIME類型可以很容易僞造。使用getimagesize()來查看它是否真的是一個圖像。
0
你不應該保存上傳到公共文件夾! 你應該將它們保存在一個私人目錄中,並使用視圖助手爲你加載圖像
相關問題
- 1. 安全圖片上傳PHP
- 2. 安全圖片上傳PHP
- 3. PHP圖片上傳安全 - gd/imagick/move_upload_file
- 4. PHP文件圖片上傳安全
- 5. 安全地上傳圖片
- 6. 安全上傳gif圖片
- 7. 如何製作圖片上傳
- 8. 圖片上傳安全 - 與GD
- 9. 在Django中安全地上傳圖片?
- 10. 圖片上傳目錄安全
- 11. 圖片上傳安全問題
- 12. 安全的HTML + PHP窗體上傳圖片和矢量文件?
- 13. 服務器上的安全圖片
- 14. 如何上傳圖片併發布該圖片(製作中)?
- 15. 使用PHP上傳安全圖像
- 16. PHP圖像上傳安全方法
- 17. 最新安全PHP圖像上傳
- 18. 無法使用php製作上傳圖片的縮略圖
- 19. PHP圖片上傳
- 20. 圖片上傳PHP
- 21. 圖片上傳PHP
- 22. Php圖片上傳
- 23. php圖片上傳
- 24. php上傳圖片
- 25. PHP文件上傳安全
- 26. PHP文件上傳,安全?
- 27. Facebook的PHP SDK上傳圖片 - 圖片
- 28. 上傳圖片php mysql二進制
- 29. 如何讓圖片的ajax上傳器?
- 30. 如何上傳圖片時,在PHP
這是錯誤的解決方案國際海事組織。有可能創建一個完全有效的GIF圖像,這也是一個完美有效的PHP腳本。你應該拋棄無效的圖像文件,只是因爲它們是無效的,但爲了安全起見,你應該依靠適當的服務器配置。不要讓服務器在公共目錄中執行文件。另外,爲上傳的圖像執行正確的文件擴展名(不允許圖像名爲'image.gif.php'),並確保只有'.php'文件被PHP處理(大多數服務器已經正確設置)。 – 2010-08-21 08:30:40
有關上述漏洞的更多信息,請參閱此鏈接:http://www.phpclasses.org/blog/post/67-PHP-security-exploit-with-GIF-images.html – 2010-08-21 08:32:25
感謝您的信息,我沒有意識到這種利用。 – Maerlyn 2010-08-21 08:54:37