我已閱讀安全PHP上傳腳本線程,但我很難讓這個已知的好腳本接受更改。我想讓這個腳本只允許.jpeg,.png和.gif文件。有人能告訴我如何修改這個腳本來做到這一點嗎?我如何保護這個PHP上傳腳本
<?php
$result=0;
if (trim($_POST["action"]) == "Upload File") { //**** User Clicked the Upload File Button
//*********** Execute the Following Code to Upload File *************
$imagename = basename($_FILES['image_file']['name']); // grab name of file
$result = @move_uploaded_file($_FILES['image_file']['tmp_name'], $imagename); // upload it
if ($result==1) echo("Successfully uploaded: <b>".$imagename."</b>"); // did it work?
} // end if
?>
<?php
if ($result==1) echo("<img src='".$imagename."'>"); // display the uploaded file
?>
你可能喜歡的東西在開始[這個鏈接](http://webcheatsheet.com/PHP/file_upload.php),根據你的需要修改它,如果不起作用,我們可以從那裏獲得幫助。 – 2013-04-26 21:44:01
你絕對需要開始測試成功的上傳,做服務器端MIME類型檢查,絕對**必須**停止使用'@'運算符。 – 2013-04-26 21:45:00
除了不適宜使用用戶提供的文件名以及從與應用程序相同的域提供用戶提供的文件外,您還得到了HTML注入(導致XSS)。 – bobince 2013-04-28 01:39:11