php 如何确保上传图片的安全-PHP中文网问答

文章专题 AI工具学习下载问答源码最近更新

PHP

会员中心讲师中心微信公众号

php 如何确保上传图片的安全

ringa_lee 2017-04-10 15:01:28

[PHP讨论组]

729

平时我发现，有很多网站都不提供gif图片的上传，之前在对网站进行安全检查的时候也发现了一些gif图片中暗藏代码，竟然还可以执行！
记得我用文本编辑器打开图片，在图片的最后，发现了php的一句话木马，我想请问，这类问题如何解决？
如果保证/防范图片（或文件）上传中可能存在的安全隐患？

敬谢！

ringa_lee

全部回复(1)

大家讲道理2017-04-10 15:03:28 1楼

上传的时候不依靠Content-Type来做文档类型验证，可以参考我在这里的回答如何判断浏览器上传文件的真实类型？
上传的图片文件放到web 目录外的地方，限定好权限，图片展示的时候，可以使用另一个域名。
强制服务器给静态文件发送正确的文件头，避免图片中的代码被执行参考http://nullcandy.com/php-image-upload-security-how-not-to-do-it/

ForceType application/octet-stream
<FilesMatch "(?i)\.jpe?g$">
    ForceType image/jpeg
</FilesMatch>
<FilesMatch "(?i)\.gif$">
    ForceType image/gif
</FilesMatch>
<FilesMatch "(?i)\.png$">
    ForceType image/png
</FilesMatch>