我有一个网站,允许用户上传图片 - png、jpg、jpeg、gif。我被告知在站点根目录的 .htaccess 文件中包含以下代码(例如:允许与站点有关的所有内容)。这是解决这个问题的最好方法吗?
deny from all
<Files ~ "^\w+\.(gif|jpe?g|png)$">
order deny,allow
allow from all
</Files>
基本上我想为上传的文件类型添加一些额外的保护。我知道它不是万无一失的,只是多一点保护……想法?
谢谢你
问问题
1389 次
1 回答
2
您可以使用 GD 的函数getimagesize或getimagesizefromstring检查文件何时是图像。然后对于正在上传的每个文件,您检查尺寸。如果您使用的函数返回false,则该文件不是图像。
您还可以检查 mime 类型,因此getimagesize您可以将图像限制为特定类型。
于 2013-03-07T06:05:38.710 回答