可能重复:
上传的安全威胁
我一直在寻找用于安全图像上传的良好脚本/教程,但无论我发现什么,阅读评论似乎都存在脚本问题,就安全性而言。所以我尝试编写我的脚本。我想询问有关此的任何安全建议。
//create arrays from allowed extensions and types
$allowed_exts = array("jpg", "jpeg", "png", "gif");
$allowed_types = array("image/jpeg", "image/png", "image/gif");
//extract extension from uploaded file
$ext = strtolower(substr($_FILES["image"]["name"], strrpos($_FILES["image"]["name"], ".") + 1));
我首先检查扩展名是否是允许的
if(in_array($ext, $allowed_exts) === false){
echo "Only .jpg, .png, .gif allowed";
}
然后检查类型是否是允许的类型之一
elseif(in_array($_FILES["image"]["type"], $allowed_types) === false){
echo "Only .jpg, .png, .gif allowed";
}
然后检查文件大小
elseif($_FILES["image"]["size"] > 2100000){
echo "File is too big";
}
现在使用 getimagesize 检查尺寸
elseif(!getimagesize($_FILES["image"]["tmp_name"])){
echo "File is not an image";
} else {
我创建一个随机文件名
$filename = mt_rand(1000,99999)."_".$_POST['p_id'].".jpg";
如果这一切都很好,我会使用 GD 创建一个拇指。简而言之(如果它是 jpeg):
a. imagecreatefromjpeg -> from uploaded file
b. imagecreatetruecolor -> with desired thumbnail dimensions
c. imagecopyresampled -> modify the image created under a.
d. imagejpeg -> save image to destination
所以,正如我所读到的,这应该可以消除图像带来的大多数问题,但我确信我错过了一些重要的东西。
我写入文件的目录具有 755 权限,但我认为我必须通过在文件夹中放置 .htaccess 来对目录进行更多限制?里面应该有什么?