这些 PHP 代码是否容易受到任意文件上传的影响?

【问题标题】:Is any of this PHP code vulnerable to arbitrary file upload?这些 PHP 代码是否容易受到任意文件上传的影响?
【发布时间】:2013-08-15 21:53:16
【问题描述】:

我有两个文件。一个用于通过文件上传图像,另一个用于通过 url 上传图像。有没有办法绕过检查以执行任意文件上传?

本地上传代码如下: http://pastebin.com/8LFiA6K9

这是通过 url 上传的代码: http://pastebin.com/MTVXMKyz

我得到一个非图像文件的无效 url 错误,所以我认为它有点安全。而且我还假设第一个文件中的正则表达式检查也是安全的。

【问题讨论】:

  • 这应该在代码审查中

标签: php security upload


【解决方案1】:

您的第二个脚本容易受到任意文件上传的影响,因为只要内容被识别为有效图像,您就可以上传任何具有任何文件扩展名的文件,包括.php。您应该像在第一个脚本中那样验证文件扩展名。

此外,您的第二个脚本也容易受到通过$_REQUEST["subject"]$_POST["pmcat_id"] 进行的SQL 注入。

【讨论】:

    猜你喜欢
    • 2016-12-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-04-17
    • 2012-11-16
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode