我有用户上传图片。我用 GD 创建了一个缩略图,并将其存储在我的上传文件夹中,并使用我存储在数据库中的随机名称。不存储原始图像,它只是生成的缩略图。
这是否消除了用户图像上传的安全问题?是否仍有可能将原始的某些可执行恶意脚本复制到缩略图中?我在上传时检查扩展名、类型和“getimagesize”,我知道这很容易绕过,当 GD 无法创建缩略图时,上传的文件被拒绝。
我仍然容易受到哪些问题的影响?
我有用户上传图片。我用 GD 创建了一个缩略图,并将其存储在我的上传文件夹中,并使用我存储在数据库中的随机名称。不存储原始图像,它只是生成的缩略图。
这是否消除了用户图像上传的安全问题?是否仍有可能将原始的某些可执行恶意脚本复制到缩略图中?我在上传时检查扩展名、类型和“getimagesize”,我知道这很容易绕过,当 GD 无法创建缩略图时,上传的文件被拒绝。
我仍然容易受到哪些问题的影响?