我有一个允许 jpg、jpeg、png 和 gif 文件上传到另一个目录的 php 图像上传脚本。当然,我会检查上传脚本中的 mime/type 和文件扩展名,但聪明的黑客可以轻松绕过这些。
我有一个模糊的理解,您可以以某种方式将可执行代码嵌入到这些图像文件中。谷歌搜索了一个多小时,我还没有找到一种在标准 Godaddy apache 配置上执行图像内部代码的方法。我发现如果文件类型类似于 test.php.jpg,那么代码可能会执行。因此,我将那个特定上传文件夹的 htaccess 文件更改为
RewriteEngine on
RewriteRule !^([0-9]*)[.](jpg|jpeg|gif|png)$ /error.php?
我的问题是这是否足够或者它仍然很脆弱?如果是这样,您对如何将文件保护为仅具有不可执行代码的纯图像有任何想法。