评论 共10条

请登录后发表评论

    • undefined
    • 通过exif_imagetype或getimagesize判断一下应该就可以吧?
      2月前
      • FancyPig
        FancyPig作者0
        你说的这些可以一定程度上防止,但还是不完善,exif_imagetype判断的你只要有GIF89a的头就可以传,所以配合其他的方式还是可以传进来漏洞的。 最好的方法建议还是可以看看之前DVWA文件上传实验里 Impossible难度的代码,可以对文件上传类型做白名单、使用uniqid函数做当前时间的判断、同时对文件名增加MD5加密防止被截断上传、同时还有Anti-CSRF token防护CSRF上传脚本,因此上传功能要做好还需要考虑很多